La SEC propose des règles en matière de cybersécurité

Le 13 mars 2023, la Securities and Exchange Commission (SEC) a proposé de nouvelles règles et exigences en matière de cybersécurité pour toutes les entités de marché afin de gérer les risques. Parmi les réglementations proposées figuraient des exigences mises à jour concernant Formulaire 8-K rapports ainsi que de nouvelles directives pour Modifications du formulaire 10-K. 

En vertu de la réglementation proposée relative au formulaire 8-K, les entreprises seraient tenues de signaler les violations de données dans les quatre jours suivant un incident. Cinq questions et réponses documentées devront figurer dans tous les rapports d'incident, les réponses devant contenir un niveau de détail suffisant pour permettre à un investisseur raisonnable de comprendre la violation. Les questions suivantes sont obligatoires pour tout rapport d'incident via le formulaire 8-K, conformément à la réglementation proposée :

1. Quand l'incident a-t-il été découvert et s'il est toujours en cours ?.
2. Une brève description de la nature et de l'étendue de l'incident.
3. Si des données ont été volées, modifiées, consultées ou utilisées à toute autre fin non autorisée.
4. L'incidence de l'incident sur les activités de l'entité enregistrée.
5. Si le déclarant a remédié à l'incident ou est en train de le faire.

Répondre aux questions posées en évitant les détails trop techniques permettra de rendre les discussions sur les risques de cybersécurité plus accessibles à toutes les parties prenantes de l'entreprise.

Politiques et procédures de gestion des cyber-risques 

Par ailleurs, la proposition de la SEC préconisait l'intégration de politiques et de procédures spécifiques de gestion de la cybersécurité dans les modifications apportées au formulaire 10-K. Ces politiques et procédures relatives aux risques de cybersécurité, incluses dans le formulaire 10-K, devaient être aussi compréhensibles que possible afin de permettre l'implication de la direction générale et du conseil d'administration. Cet ajout de dispositions relatives à la cybersécurité au formulaire 10-K est également important car il permettra de clarifier la réglementation des protocoles de cybersécurité de l'entreprise. 

Au cours de la dernière décennie, les atteintes à la cybersécurité ont connu une augmentation considérable et constituent désormais l'un des principaux risques pour les entreprises de tous les secteurs d'activité. De fait, ce risque ne fera que croître à l'avenir. Dans une enquête de 2019, 200 des plus grandes entreprises mondiales ont classé la cybersécurité comme la principale menace pesant sur leur croissance et celle de l'économie mondiale pour la prochaine décennie. La SEC a choisi d'élaborer ce projet de réglementation dans l'espoir d'harmoniser les informations relatives à la gestion des risques de cybersécurité et au signalement des incidents, à mesure que ces pratiques se généralisent au sein des organisations.

Conseils pour bâtir une culture de la gestion des risques

Si la proposition de la SEC se concrétise, les entreprises doivent se préparer à mettre en place un processus de réponse aux incidents extrêmement complet. La sécurité de l'entreprise ne repose pas uniquement sur le responsable de la sécurité des systèmes d'information (RSSI), l'équipe de sécurité et l'équipe informatique. Tous les membres de l'entreprise doivent être formés et rester vigilants face à toute menace potentielle. Savoir signaler une éventuelle brèche de sécurité, même mineure, est essentiel pour que tous les employés contribuent au respect des réglementations de la SEC. Sensibiliser l'ensemble de l'organisation aux risques de cybersécurité est primordial pour garantir la sécurité de l'entreprise, car presque toutes les équipes manipulent des données susceptibles de la mettre en danger. 

Pour contribuer à maintenir le dialogue sur un sujet aussi important, il convient d'utiliser les outils appropriés, tels que CNAPP et orchestration, automatisation et réponse de sécurité (SOAR), Cela permet au RSSI de présenter la situation en matière de risques de l'entreprise à la direction et au conseil d'administration, en établissant un langage commun pour faciliter le dialogue. Inclure les dirigeants de l'entreprise dans ce dialogue chaque trimestre, et pas seulement après un incident, permet d'orienter le budget et d'améliorer la visibilité afin de combler les lacunes importantes et ainsi contribuer à prévenir les incidents de sécurité tels que les violations de données. Les risques de cybersécurité sont aujourd'hui une réalité pour les entreprises, mais en respectant la réglementation, en utilisant les outils d'automatisation appropriés et en abordant régulièrement la cybersécurité, il est possible de protéger une entreprise.