Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque

Les organisations s'inquiètent des risques liés à la sécurité et à la confidentialité. Plus récemment, elles se sont intéressées aux risques liés à l'IA. Mais combien de fois abordent-elles ces trois aspects simultanément ?

Il devient de plus en plus évident qu'ils le devraient. Les lois relatives à la protection des données, à la cybersécurité et à l'IA ont quadruplé depuis 2016 aux États-Unis, dans l'UE, au Royaume-Uni et en Chine.

La SEC a déjà prouvé son engagement en matière de cybersécurité. Ses règles en la matière, qui entreront en vigueur en décembre 2023, redéfinissent d'ores et déjà la manière dont les sociétés cotées gèrent la divulgation des violations de données. Le formulaire 8-K, article 1.05, est désormais applicable. a besoin Les entreprises doivent divulguer les incidents de cybersécurité importants dans les quatre jours ouvrables suivant la détermination de leur importance, et non à compter de leur découverte. Le formulaire 10-K, article 106, impose la publication annuelle des processus de gestion des risques et des structures de surveillance du conseil d'administration.

La Commission n'hésite pas à sanctionner les entreprises qui, selon elle, ont minimisé les incidents de sécurité. Il y a un peu plus d'un an, en octobre 2024, la SEC a conclu des accords à l'amiable avec quatre sociétés cotées en bourse (Unisys, Avaya, Check Point et Mimecast) pour avoir induit les investisseurs en erreur quant à l'impact de la cyberattaque SolarWinds de 2020. Le montant total des amendes avoisinait les 7 millions de dollars. Unisys a notamment payé 4 millions de dollars pour avoir qualifié les cyber-risques d'« hypothétiques » dans ses documents, alors que ses équipes internes avaient connaissance d'intrusions réelles.

Entre décembre 2023 et janvier 2025, 55 incidents de cybersécurité ont été signalés via des formulaires 8-K. Outre les actions liées à SolarWinds, Flagstar a versé 3.55 millions de dollars en décembre 2024 pour avoir qualifié de simple « accès » une violation de données affectant 1.5 million de personnes, alors que des données avaient en réalité été exfiltrées.

Ces sanctions soulignent la nécessité d'intégrer la communication sur la cybersécurité à une gestion des risques d'entreprise plus globale. La création par la SEC d'une nouvelle unité dédiée à la cybersécurité et aux technologies émergentes (CETU) en février 2025 indique que cette surveillance se poursuivra. Cette unité a remplacé l'unité dédiée aux crypto-actifs et à la cybersécurité. La CETU met également en évidence l'importance de prendre en compte l'IA dans l'évaluation des risques, puisqu'elle inclut explicitement les pratiques liées à l'IA et à la cybersécurité dans son mandat.

La fragmentation de la gouvernance engendre une exposition cumulative.

Les entreprises américaines ayant des activités en Europe subissent également une pression supplémentaire du fait de la loi européenne sur l'IA, entrée en vigueur en août 2024. Cette loi, dont les échéances de mise en conformité sont échelonnées jusqu'en 2027, s'applique de manière extraterritoriale. Les entreprises américaines qui mettent sur le marché de l'UE des systèmes d'IA ou qui déploient une IA dont les résultats affectent les utilisateurs européens doivent s'y conformer.

Les enjeux sont considérables. Les sanctions pour les pratiques d'IA interdites peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les catégories à haut risque, qui concernent l'IA utilisée pour les décisions d'embauche, l'évaluation du crédit et les diagnostics médicaux, exigent des évaluations de conformité, une documentation technique et des mécanismes de contrôle humain. L'interdiction des systèmes d'IA présentant un risque inacceptable est entrée en vigueur en février 2025.

L'IA apparaît dans les documents de divulgation

Les attentes des investisseurs évoluent au gré de ces risques. Les autorités de réglementation et les actionnaires indiquent clairement que l'ancien modèle d'équipes distinctes gérant la cybersécurité, la protection de la vie privée et l'IA comme des domaines séparés n'est plus viable.

L'IA est passée avec une rapidité remarquable des discussions sur les opportunités en salle de réunion à la section des facteurs de risque des rapports annuels. 72 % des entreprises du S&P 500 divulguer maintenant les risques importants liés à l'IA, contre seulement 12 % en 2023. Les préoccupations qu'ils citent le plus fréquemment sont l'atteinte à la réputation (38 % des entreprises ayant divulgué l'information), les implications en matière de cybersécurité et l'incertitude réglementaire.

Un contrôle du conseil d'administration a ensuite été mis en place. Selon ISS-Corporation31.6 % des entreprises du S&P 500 ont indiqué que leur conseil d'administration supervisait l'intelligence artificielle dans leurs déclarations de procuration de 2024. Cela représente une augmentation de 84 % par rapport à l'année précédente.

Les organismes qui n'imposent pas un tel contrôle risquent de causer un préjudice important aux actionnaires, ce qui pourrait entraîner des recommandations de vote négatives. L'année dernière, Glass Lewis, une société de conseil en vote qui conseille les actionnaires institutionnels sur leurs modalités de vote, a publié de nouvelles lignes directrices de référence portant directement sur la gouvernance de l'IA.

Le problème de la gestion séparée de la cybersécurité, de la protection de la vie privée et de l'IA réside dans le fait que les incidents liés à chacun de ces domaines ont des répercussions sur les autres. Une seule violation de données peut déclencher simultanément des obligations de divulgation auprès de la SEC, des exigences de notification au titre du RGPD, des lois étatiques sur la protection de la vie privée et, si des données personnelles ont servi à l'entraînement d'un système d'IA, des réglementations émergentes en matière d'IA.

Le moment est donc venu de fusionner les réflexions sur ces domaines de risque, mais rien de tout cela n'est facile. Selon D'après les perspectives de gouvernance de juillet 2025 de la National Association of Corporate Directors, l'IA est désormais un sujet de conversation courant pour 61 % des conseils d'administration, mais rares sont ceux qui l'ont correctement intégrée dans leurs structures de gouvernance.

Pourquoi ? Les frictions culturelles en sont une des raisons. Historiquement, les équipes chargées de la sécurité, de la protection de la vie privée et de l'IA ont utilisé des vocabulaires, des cadres de gestion des risques et des structures de reporting différents.

L'intégration technologique complexifie encore la situation ; le cloisonnement des outils GRC engendre des approches fragmentées en matière d'évaluation des risques, de documentation d'audit et de collecte de preuves. Les contraintes budgétaires imposent des compromis difficiles entre la mise en place d'une infrastructure intégrée et le respect des échéances de conformité immédiates.

Les cadres de normes offrent une voie à suivre

Bonne nouvelle : les principaux organismes de normalisation avaient anticipé cette convergence. La structure de haut niveau de l’ISO garantit que les normes ISO 27001 (sécurité de l’information), ISO 27701 (protection des données) et la plus récente ISO 42001 (systèmes de management de l’IA) partagent des architectures compatibles, permettant ainsi aux organisations de mettre en place des systèmes de management unifiés plutôt que des bureaucraties parallèles.

L'intégration pratique commence généralement par la mise en place de comités de pilotage transversaux réunissant des représentants des services de protection des données, de cybersécurité, juridiques et d'IA. À partir de là, les organisations élaborent des taxonomies de risques partagées et, lorsque leur budget le permet, des plateformes GRC unifiées qui éliminent les évaluations redondantes. Les frontières entre les rôles s'estompent déjà : selon une enquête menée par l'IAPP et EY, 69 % des responsables de la protection des données ont désormais des responsabilités en matière de gouvernance de l'IA.

Les organisations qui ne font pas évoluer leurs pratiques dans ce sens s'exposent à des problèmes de réglementation. Celles qui le font bénéficieront d'une réglementation simplifiée, d'une charge d'audit allégée et d'une confiance accrue des investisseurs.