La Securities and Exchange Commission (SEC) a adopté en juillet 2023 un ensemble de normes obligeant les entreprises publiques à révéler les incidents de cybersécurité matériels, leurs stratégies de gestion des risques climatiques et les mécanismes de supervision que leurs conseils d'administration appliquent à ces deux enjeux. Ce paquet n'est pas nouveau en soi, mais il marque une profonde évolution : pour la première fois, le régulateur ne se contente pas de demander ce qui s'est passé, il se penche sur l'organisation du conseil pour prévenir ces incidents.
Cela ne constitue pas une simple mise à jour administrative. C'est un changement fondamental dans la structuration de la gouvernance d'entreprise.
De la divulgation volontaire à l'inscription obligatoire
Pendant des années, la divulgation des risques non financiers a été un exercice de relations publiques déguisé en gouvernance. Les entreprises publiaient leurs politiques de cybersécurité dans des rapports de durabilité que personne ne vérifiait sérieusement, et les conseils d'administration pouvaient se vanter d'une "supervision stratégique" sans qu'aucun mécanisme formel ne le valide. La SEC a comblé cette lacune.
Le nouveau cadre réglementaire fonctionne selon la logique divulguer ou expliquer. Autrement dit, vous divulguez la pratique, ou vous expliquez publiquement pourquoi elle n’existe pas. Cette mécanique est plus contraignante qu'il n'y paraît. En théorie, toute entreprise peut opter pour la voie de l'explication. En pratique, faire cela signifie risquer un examen par des sociétés de vote consultatif comme ISS ou Glass Lewis, qui pénalisent l'absence de contrôles formels en recommandant de voter contre certains administrateurs. Le résultat est une pression de marché qui ressemble à un mandat implicite.
La norme sur la cybersécurité — inscrite dans l'Item 106 du Regulation S-K — exige que les entreprises décrivent leurs processus pour identifier et gérer les risques matériels, les effets potentiels sur l'activité, et, de manière spécifique, le rôle du conseil d'administration dans la supervision des menaces cybernétiques. Il ne suffit pas d'avoir un comité d'audit qui examine les incidents a posteriori. Le régulateur veut savoir dans quelle mesure le conseil est préparé à les anticiper.
En parallèle, les règles de divulgation climatique établissent un calendrier échelonné : les entreprises à forte capitalisation (Large Accelerated Filers) doivent commencer par des divulgations de risque financier en 2025 et sur les émissions de gaz à effet de serre en 2026. Les entreprises de taille intermédiaire suivent en 2026 et 2028, respectivement. Ce calendrier n'est pas clément : pour de nombreuses organisations, construire l'infrastructure de données nécessaire pour répondre à ces exigences prendra entre 18 et 36 mois.
La pression s'exerce directement sur la composition du conseil
Voici le point que la plupart des analyses omettent : les nouvelles règles ne changent pas seulement ce qui est reporté, mais qui doit être assis à la table pour pouvoir le rapporter de manière crédible.
Un conseil composé uniquement d'exécutifs aux profils financiers et opérationnels traditionnels n'a pas la capacité technique de superviser une stratégie de cybersécurité avec le niveau de détail que la SEC exige désormais. Il en va de même pour le risque climatique : un directeur qui ne comprend pas la différence entre les émissions de portée 1, 2 et 3 ne peut pas certifier de manière fiable que l'entreprise gère adéquatement son exposition réglementaire sur ce front.
Cela génère une demande accrue de directeurs avec des profils techniques spécialisés : anciens directeurs de la sécurité informatique (CISO), experts en infrastructure énergétique, ingénieurs ayant une expérience en décarbonisation industrielle. Le problème, c'est que ce marché du talent est étroit et coûteux. Recruter un directeur avec de réelles qualifications en cybersécurité ou en risque climatique a un coût d'opportunité significatif, tant en termes de compensation qu'en temps d'intégration dans le fonctionnement du conseil.
Les entreprises qui tentent de résoudre cela par des formations accélérées pour leurs directeurs actuels misent sur l'idée que des connaissances superficielles suffisent à répondre aux exigences réglementaires. C'est un pari qui ne tiendra probablement pas face au premier incident matériel sous les nouvelles règles.
La réforme perturbe également la structure des comités. Historiquement, le comité d'audit traitait presque tous les sujets de risque. Aujourd'hui, de nombreux conseils créent des comités spécifiques sur la cybersécurité et la durabilité, ce qui augmente la charge sur les administrateurs indépendants et élève les coûts de fonctionnement du conseil. Pour une entreprise ayant des revenus annuels inférieurs à 500 millions de dollars, ce coût structurel peut représenter entre 0,3 % et 0,8 % de ses dépenses générales et administratives, selon des projections du secteur légal.
Le coût de la confusion entre conformité et stratégie
Le plus grand risque opérationnel que je perçois dans la façon dont les entreprises réagissent à ces règles est la confusion entre remplir le formulaire et gérer le risque. Ces deux objectifs ne sont pas identiques, et optimiser l'un peut nuire à l'autre.
Une entreprise qui bâtit sa divulgation en cybersécurité pour satisfaire l'Item 106 sans repenser ses processus internes de gestion des incidents se crée un passif légal de premier ordre : si une brèche se produit, le régulateur disposera d'un document certifié où l'entreprise affirme avoir des contrôles solides. Le dommage réputationnel et légal de cette brèche se multiplie par l'écart entre ce qui a été déclaré et la réalité.
Il en va de même pour le risque climatique. La divulgation des émissions sans un plan de gestion crédible est, paradoxalement, plus coûteuse que de ne rien divulguer, car elle transforme un risque réglementaire en un risque de litige. Les investisseurs institutionnels avec des mandats ESG utilisent déjà les divulgations climatiques pour construire des cas de négligence fiduciaire contre des directeurs ayant approuvé des stratégies en désaccord avec leurs propres déclarations publiques.
Le président de la SEC, Gary Gensler, a clairement articulé l'objectif du régulateur : que les divulgations soient "cohérentes, comparables et utiles à la prise de décision". Ce langage technique a une implication directe pour les conseils : le standard n'est pas de divulguer davantage, mais de divulguer avec suffisamment de précision pour qu'un investisseur externe puisse évaluer de manière indépendante le risque. Les modèles génériques qui caractérisent une bonne partie des divulgations actuelles ne respecteront pas ce standard.
Le conseil comme actif stratégique, non comme structure de conformité
Les entreprises qui sortent mieux positionnées dans cet environnement sont celles qui ont traité les nouvelles exigences comme une opportunité de recalibrer la structure de leurs conseils, et non celles qui ont engagé un cabinet externe pour rédiger les divulgations minimales requises.
Cela implique des décisions concrètes : cartographier les lacunes de compétence technique dans le conseil actuel, concevoir un processus d'intégration des administrateurs avec des critères actualisés, et construire un mécanisme de rapport interne pour générer les données dont le conseil a besoin pour superviser la cybersécurité et le risque climatique de façon trimestrielle, et non annuelle. Le processus de divulgation auprès de la SEC devrait être la dernière étape de ce système, et non la première.
Les entreprises qui investiront dans cette infrastructure de gouvernance avant que les délais de conformité ne les y obligent auront un avantage structurel : leurs conseils seront mieux équipés pour détecter les risques avant qu'ils ne deviennent matériels, réduisant ainsi la probabilité d'incidents et, par conséquent, les coûts de litige, de réponse et de dommages réputationnels associés. Le cadre réglementaire de la SEC, avec toutes ses frictions d'implémentation, accélére une différenciation entre les entreprises qui gouvernent avec des données et celles qui gouvernent avec des documents.
