La Securities and Exchange Commission (Commission des valeurs mobilières des États-Unis) a récemment finalisé des règles sur la divulgation des incidents de cybersécurité et la gestion des risques. Bien que ces règles s’appliquent directement aux entreprises publiques, toute entreprise – publique ou privée – qui fait des affaires avec une entreprise publique devra y prêter attention. Les nouvelles règles exigent que les entreprises publiques publient une déclaration pour tout incident de cybersécurité jugé important pour les investisseurs et décrivent la nature, la portée, le calendrier et l’impact (ou l’impact raisonnablement probable) de l’incident sur l’organisation. La rubrique 1.05 du formulaire 8-K devra généralement être déposée dans les quatre jours ouvrables suivant la détermination de l’importance d’un incident. Dans le rapport annuel, les entreprises doivent décrire leurs processus d’évaluation, d’identification et de gestion des menaces de cybersécurité. Elles doivent également décrire la supervision et l’expertise du conseil d’administration en matière d’évaluation et de gestion de ces menaces. De nombreuses sociétés cotées en bourse ont déjà mis en place des processus et des procédures pour identifier les incidents de cybersécurité et partager l’information avec les parties prenantes, même si ces processus et procédures doivent être renforcés pour se conformer aux nouvelles règles. « Je pense que les entreprises et les investisseurs gagneraient à ce que ces informations soient communiquées de manière plus cohérente, plus comparable et plus utile à la prise de décision », a déclaré Gary Gensler, président de la SEC. « En aidant les entreprises à divulguer des informations importantes sur la cybersécurité, les règles adoptées aujourd’hui profiteront aux investisseurs, aux entreprises et aux marchés qui les relient.
Préparez-vous maintenant
Les nouvelles règles entreront largement en vigueur à partir des rapports annuels pour les exercices se terminant le ou après le 15 décembre 2023. Les petites entreprises disposent d’un délai supplémentaire de 180 jours pour s’y conformer. Même si votre entreprise dispose déjà d’un protocole pour faire face aux cybermenaces, les nouvelles règles exigent que vos processus et seuils soient formalisés et communiqués dans vos documents financiers. Voici trois mesures à prendre dès maintenant :
1. Passez en revue vos politiques de cybersécurité et ajustez-les si nécessaire. De nombreuses entreprises classent déjà les incidents en priorité élevée, moyenne ou faible en fonction du type d’informations susceptibles d’être compromises. Mais un incident hautement prioritaire n’est pas nécessairement qualifié de « matériel » du point de vue de la SEC. Un incident impliquant des IPI, par exemple, serait une priorité élevée, mais il ne serait considéré comme important que s’il avait un impact sur les investisseurs ou sur la capacité de l’entreprise à fonctionner. Chaque entreprise doit définir elle-même ce qui est considéré comme important, établir des normes pour identifier ces cybermenaces et incidents, et communiquer l’impact aux investisseurs.
2. Évaluez les incidents actuels et classez-les en deux catégories : les incidents importants et les incidents non importants. Appliquez vos normes de matérialité pour identifier les incidents ou les incidents évités de justesse qui doivent être divulgués. Cette divulgation doit contenir une description des aspects importants de la nature, de la portée et du moment de l’incident, ainsi que de son impact important ou raisonnablement probable sur le déclarant, y compris sur sa situation financière et ses résultats d’exploitation. Lorsqu’un incident de cybersécurité est considéré comme important, vous disposez de quatre jours ouvrables pour déposer un formulaire 8-K au titre de la rubrique 1.05. Notez que vous devez divulguer l’impact des incidents de cybersécurité précédemment communiqués et désormais considérés comme importants.
3. Faites en sorte que vos fournisseurs tiers respectent vos normes de cybersécurité. Étant donné qu’un incident de cybersécurité chez un tiers peut avoir des répercussions importantes sur votre entreprise, vos fournisseurs doivent être tenus de respecter vos normes de cybersécurité. Les fournisseurs qui sont des entreprises publiques disposent déjà de la plupart de ces informations pour leurs propres déclarations. Les entreprises privées, en revanche, peuvent avoir un travail considérable à accomplir avant de pouvoir fournir ce qui est nécessaire. Vous devez mettre en place un processus d’examen des incidents de cybersécurité chez vos tiers afin de déterminer si l’incident est significatif et l’impact potentiel sur vos propres déclarations.
Augmentation de la pression
Étant donné qu’il n’existe actuellement aucune norme pour déterminer l’importance relative, les tiers peuvent se trouver dans l’obligation de suivre des paramètres différents pour chacun de leurs clients. La gestion de centaines de protocoles potentiels constituera un défi, même pour les entreprises publiques. Les tiers pourraient décider de se contenter de suivre la norme la plus stricte. Toutefois, cette approche risque de submerger les clients dont les seuils sont plus élevés. La dépendance croissante à l’égard des fournisseurs de services tiers (y compris le stockage en nuage) est en fait l’un des facteurs identifiés par la SEC comme contribuant à l’augmentation alarmante du coût des incidents de cybersécurité. La numérisation des opérations, le développement du travail à distance et la capacité des criminels à tirer profit des incidents de cybersécurité sont d’autres facteurs qui augmentent le coût et la fréquence des incidents – et aucun de ces facteurs ne devrait s’atténuer de sitôt. Bien que les informations divulguées par les entreprises se soient améliorées depuis la publication initiale des lignes directrices de la SEC en 2011, les nouvelles règles apporteront la cohérence et la clarté nécessaires à ce qui est déclaré, à la manière dont cela est déclaré et au moment où cela est déclaré. Les investisseurs disposeront désormais d’informations utiles pour évaluer l’exposition d’une entreprise à des risques importants en matière de cybersécurité et sa capacité à gérer les incidents. Il s’agit là d’une bonne nouvelle.
Pour en savoir plus sur la rationalisation de la conformité, téléchargez notre ebook, Transformer la conformité de la boîte de contrôle au championet découvrez le logiciel de conformité de Riskonnect de Riskonnect.
