L’impact des règles de la SEC en matière de cybersécurité sur la gestion des risques d’entreprise

Si vous travaillez dans cybersécurité, Si vous suivez l'évolution de la réglementation ou si vous faites partie du secteur, vous avez probablement suivi de près les récents développements réglementaires. Règles de divulgation des incidents de cybersécurité de la SEC et de l'UE Loi sur la cyber-résilience (CRA), Ces dernières ont incité les organisations à réévaluer et à repenser leurs stratégies. Aujourd'hui, face aux progrès rapides de l'IA, il est temps d'adopter un usage responsable et de renforcer la réglementation. 

Bien que le développement et l'utilisation sécurisés de IA Bien que la cybersécurité ne soit pas encore réglementée, une réglementation notable de l'année dernière concerne les nouvelles règles de la SEC relatives à la gestion des risques et à la divulgation des incidents. Ces règles imposent désormais aux sociétés cotées en bourse de :

• Déclarer les incidents cybernétiques importants à la SEC dans les délais impartis quatre jours ouvrables.
• Fournissez des informations détaillées sur la surveillance des risques de cybersécurité par leur conseil d'administration. 

Pour mieux comprendre l'impact de ces changements, nous nous sommes associés à Sapio Research Nous avons interrogé 500 décideurs en cybersécurité issus de grandes entreprises américaines et britanniques. Téléchargez le rapport complet : Réglementation 2024 contre réalité : les tentatives de la Fed pour contrôler la divulgation des incidents sont-elles efficaces ?

Le coût de la négligence des réglementations en matière de cybersécurité 

En tant que responsable de la sécurité des systèmes d'information (RSSI) de Swimlane, j'ai pu constater directement comment les évolutions réglementaires redessinent le paysage de notre secteur, et les conséquences de leur négligence. Par exemple, des incidents majeurs comme l'attaque par rançongiciel contre [nom de l'entreprise] Change Healthcare, ont continuellement diminué la confiance du public.

L’attaque par ransomware contre Change Healthcare est l’un des nombreux incidents survenus cette année qui mettent en lumière les graves répercussions auxquelles les organisations peuvent être confrontées si elles négligent la gestion des risques. Cela inclut : 

• Atteinte à la réputation 
• pertes financières
• Temps d'arrêt de l'activité 
• Perte de données sensibles

Regardez encore ce chiffre… $1.6B Cela pourrait représenter l'impact financier total sur Change Healthcare. Dans mon récent blog, Le mystère de la “ matérialité ” : Guide du RSSI sur la conformité à la SEC, J'ai souligné l'importance de bien comprendre la définition de la matérialité, les risques associés et les conséquences financières potentielles d'une méconnaissance de cette notion. Ces conséquences financières peuvent inclure les frais juridiques, les amendes réglementaires, les coûts de remédiation et les notifications aux clients. Un autre problème majeur posé par la réglementation de la SEC en matière de cybersécurité réside dans la définition imprécise de la “ matérialité ”. En l'absence de directives claires, les organisations doivent prendre l'initiative de définir ce qui constitue un incident de cybersécurité “ matériel ”. 

Dans cette optique, on peut affirmer sans risque que le renforcement récent du contrôle réglementaire est crucial pour rétablir la confiance et garantir que les entreprises fassent de la cybersécurité une priorité. 

3 conseils proactifs en matière de cybersécurité pour se conformer à la réglementation

Le respect des exigences réglementaires récentes implique de nombreuses tâches à accomplir et Opérations de sécurité tactiques. Cependant, il est important de faire la distinction entre le simple respect des exigences de conformité et la mise en place d'une véritable stratégie proactive de gestion des risques. Se contenter du strict minimum et se satisfaire de “sécurité ” suffisante » ne protégera pas votre organisation. Ne vous fiez pas seulement à mes paroles : regardez les nombreuses entreprises qui en ont souffert. fuites de données et cyberattaques en 2024 seul.

Voici trois façons d'adopter une approche proactive en matière de stratégies de gestion des risques :

1. Mettre en œuvre une expertise en cybersécurité à l'échelle de l'entreprise 

L'approche superficielle se révèle systématiquement insuffisante. En tant que dirigeants, nous devons nous engager pleinement en matière de cybersécurité. Cet engagement est essentiel pour atténuer les risques et prévenir les cyberattaques.

Cela commence par une expertise en cybersécurité au niveau du conseil d'administration. Notre récent rapport met en lumière :

• 81% Il a déclaré que toutes les entreprises dotées d'un conseil d'administration devraient compter au moins un membre possédant une expertise en cybersécurité.
• Bien que, seulement 55% Les répondants ont indiqué qu'un membre de leur conseil d'administration possédait une expertise en cybersécurité.

Investir dans les outils et formations de cybersécurité adaptés à votre équipe améliorera considérablement vos processus. Cette approche proactive garantit que chacun, des employés débutants aux dirigeants, comprenne l'importance de la cybersécurité et soit préparé à réagir efficacement aux incidents grâce aux outils appropriés. Ce faisant, vous renforcerez vos défenses, améliorerez la gestion des risques et rationaliserez vos processus. réponse aux incidents, et créer une organisation plus résiliente.

Il est important de noter que la gouvernance et la conformité ne se traduisent pas nécessairement par une réduction des risques ou une amélioration de la cybersécurité. En revanche, une posture de sécurité adéquate, une résilience solide, des contrôles techniques et le modèle Zero Trust y contribuent. Il est donc essentiel de maîtriser les fondamentaux. 

2. Réorienter les priorités en matière de divulgation des cyberévénements

Les organisations doivent revoir leur approche lorsqu'elles communiquent sur les cyberincidents aux autorités de réglementation et au public. Il est essentiel d'aller au-delà des seuls aspects techniques et d'évaluer les risques financiers, opérationnels et de réputation plus larges afin de garantir l'exactitude des informations communiquées. Notre rapport indique :

• Seuls 25% des répondants signalent des incidents de sécurité dans un délai de 3 à 4 jours ouvrables.
• Et les appareils 43% ont connu des délais de reporting plus longs au cours de l'année écoulée.

Cela met en lumière la difficulté pour de nombreuses organisations de maintenir des processus rapides et efficaces. Cependant, l'utilisation d'une plateforme d'automatisation de la sécurité, telle que Swimlane Turbine, peut contribuer à résoudre ce problème.

3. Automatisation de la réponse aux incidents

Utilisez les playbooks pour automatiser réponse aux incidents Cette approche rationalisée facilite une prise de décision plus rapide, permettant aux organisations de réagir promptement aux incidents de cybersécurité et d'atténuer rapidement les risques. Chez Swimlane, nous tirons parti de nos propres processus. automatisation de la sécurité plateforme pour construire manuels de réponse aux incidents. Cela permet de simplifier les processus, ce qui me permet de prendre des décisions éclairées et de communiquer plus clairement à l'équipe dirigeante les détails des interventions critiques en cas d'incident. 

Concilier l'expertise humaine et l'automatisation améliorée par l'IA

En privilégiant un équilibre entre l'expertise humaine et les outils d'automatisation basés sur l'IA, vous allégez la charge opérationnelle. Il est temps d'automatiser les tâches routinières telles que la détection des menaces et l'analyse des journaux afin de libérer les professionnels de la sécurité pour des décisions critiques et éclairées. Cela améliore l'efficacité et renforce la confiance des décideurs dans leur capacité à garantir la conformité. 

Alors que votre organisation s'adapte aux nouvelles réglementations et aux défis de la cybersécurité, j'espère que ces informations vous aideront à développer votre résilience et à adopter une gestion proactive des risques. Par ailleurs, j'espère que tous mes collègues responsables de la sécurité pourront échanger avec moi sur [lien manquant]. LinkedIn pour poursuivre les conversations proactives.