Comment la nouvelle règle de divulgation de la SEC affectera presque toutes les entreprises américaines ?
La Securities and Exchange Commission (SEC), l’autorité de régulation des marchés financiers aux États-Unis, a adopté le 26 juillet 2023 de nouvelles règles visant à renforcer la transparence et la sécurité des entreprises en matière de cybersécurité. Ces règles auront un impact majeur sur presque toutes les entreprises américaines, qu’elles soient cotées en bourse ou non, ainsi que sur leurs partenaires et fournisseurs.
Quelles sont les nouvelles règles de divulgation de la SEC ?
Les nouvelles règles de la SEC exigent que les entreprises cotées en bourse divulguent tout incident de cybersécurité qu’elles jugent avoir un impact significatif sur leur activité ou leur valorisation, dans un délai de quatre jours ouvrables après en avoir pris connaissance. Elles doivent également décrire la nature, l’étendue et le calendrier de l’incident, ainsi que son impact réel ou potentiel. La divulgation peut être retardée si le procureur général des États-Unis estime que la divulgation immédiate présenterait un risque important pour la sécurité nationale ou la sécurité publique et en informe la SEC par écrit.
Voici une vidéo en anglais relatant cette nouvelle :
Les entreprises cotées en bourse doivent également fournir, dans leur rapport annuel sur le formulaire 10-K, des informations sur leur gestion, leur stratégie et leur gouvernance des risques liés aux cybermenaces. Elles doivent notamment décrire leurs processus, le cas échéant, pour évaluer, identifier et gérer les risques matériels liés aux cybermenaces, ainsi que les effets réels ou potentiels des risques liés aux cybermenaces et des incidents antérieurs de cybersécurité. Elles doivent également décrire le rôle et l’expertise du conseil d’administration et de la direction dans l’évaluation et la gestion des risques liés aux cybermenaces.
Ces règles s’appliquent également aux entreprises étrangères cotées aux États-Unis, qui doivent faire des divulgations comparables sur le formulaire 6-K pour les incidents de cybersécurité significatifs et sur le formulaire 20-F pour la gestion, la stratégie et la gouvernance des risques liés à la cybersécurité.
Comment ces règles s’appliquent-elles à moi si je ne possède pas une entreprise cotée en bourse ?
Ces règles seront appliquées par la SEC, qui dispose de vastes capacités d’enquête et de la possibilité de déterminer les sanctions que les contrevenants devront affronter. Contrairement à la règle sur les mesures de protection de la FTC, qui prévoit des sanctions et des réglementations définies, la règle de divulgation de la SEC est ouverte, tant en ce qui concerne ce qui définit un « impact significatif » qu’en ce qui concerne la façon dont l’agence donnera suite.
Dans le pire des cas, des enquêteurs fédéraux pourraient se présenter à votre porte pour saisir des documents et des appareils, s’ils pensent que vous êtes responsable d’un incident de cybersécurité qui a affecté une entreprise cotée en bourse, ou si l’entreprise vous identifie comme la source de la violation de données.
Voici quelques exemples de situations dans lesquelles une entreprise pourrait être entraînée dans une enquête de la SEC :
- Un franchisé d’une entreprise nationale subit une violation de données qui expose les informations financières personnelles de ses clients.
- Une entreprise de transport reçoit une commande frauduleuse par le biais d’une attaque par usurpation d’identité qui détourne de l’argent ou des matériaux de grande valeur vers des acteurs criminels.
- Un organisateur de conférence subit une violation de données, exposant les adresses électroniques, les noms d’utilisateur et les mots de passe de tous les participants à la conférence.
- Les serveurs d’une agence de marketing sont piratés, révélant les spécifications techniques sous embargo d’un nouveau produit d’un client.
Comment se préparer aux nouvelles règles de divulgation de la SEC ?
Pour se conformer aux nouvelles règles de divulgation de la SEC et éviter les sanctions potentielles, les entreprises doivent prendre des mesures pour renforcer leur cybersécurité et leur capacité à détecter, contenir et résoudre les incidents de cybersécurité. Voici quelques conseils pour y parvenir :
- Effectuer une évaluation des risques liés à la cybersécurité pour identifier les vulnérabilités et les menaces potentielles qui pourraient affecter votre entreprise ou vos partenaires commerciaux.
- Mettre en place des politiques et des procédures de cybersécurité claires et cohérentes, qui définissent les rôles et les responsabilités de chaque employé, ainsi que les mesures à prendre en cas d’incident de cybersécurité.
- Former et sensibiliser régulièrement les employés aux bonnes pratiques de cybersécurité, telles que l’utilisation de mots de passe forts, la vérification des sources des e-mails et des appels, et la mise à jour des logiciels et des systèmes.
- Installer et maintenir des solutions de sécurité informatique efficaces, telles que des antivirus, des pare-feu, des VPN et des systèmes de détection et de prévention des intrusions.
- Sauvegarder régulièrement les données importantes sur des supports externes ou dans le cloud, et chiffrer les données sensibles en transit et au repos.
- Établir un plan de réponse aux incidents de cybersécurité, qui décrit les étapes à suivre pour contenir, analyser, résoudre et communiquer sur un incident de cybersécurité, ainsi que les personnes à contacter en interne et en externe.
- Tester et réviser périodiquement le plan de réponse aux incidents de cybersécurité, en organisant des exercices ou des simulations pour évaluer son efficacité et identifier les domaines à améliorer.