En contexte : La Securities and Exchange Commission (SEC) des États-Unis a été créée après le crash de Wall Street en 1929, dans le but principal d’appliquer l’état de droit afin d’éviter la manipulation du marché. Cependant, dans un monde de plus en plus numérique, la plus grande menace pour les marchés et les actionnaires est constituée par les incidents de cybersécurité.
Cherchant à protéger le marché financier dans un monde dominé par les menaces de ransomwares et les botnets invisibles, la SEC a tiré quelques leçons du Règlement général sur la protection des données (RGPD) de l’Union européenne et a choisi de rendre la vie plus difficile aux entreprises cotées en bourse. L’agence fédérale américaine a mis en place de nouvelles règles en matière de gestion des risques de cybersécurité et de divulgation des incidents, qui obligent les entreprises cotées à réagir aux menaces de sécurité de manière opportune et (espérons-le) organisée.
Conformément aux nouvelles règles, les sociétés américaines cotées en bourse et les émetteurs privés étrangers devront bientôt divulguer les « incidents de cybersécurité matériels » qu’ils ont subis. De plus, les entreprises devront fournir des « informations matérielles » sur leur gestion des risques en matière de cybersécurité, leur stratégie et leur gouvernance chaque année.
Les délais de divulgation sont assez stricts, car la SEC affirme que les entreprises impactées devront fournir un formulaire 8-K dans les « quatre jours ouvrables » suivant la découverte de l’incident de sécurité. Cependant, la divulgation peut être retardée si le procureur général américain estime qu’elle présenterait un « risque substantiel » pour la sécurité nationale ou la sécurité publique. Les petites entreprises auront également 180 jours supplémentaires avant de devoir fournir les informations du formulaire 8K.
Le nouveau formulaire de divulgation des incidents de cybersécurité devra inclure des informations sur la date de découverte et l’état de l’incident, une description « concise » de la nature et de l’étendue de l’incident, toutes les données qui ont pu être compromises, altérées ou consultées par des tiers non autorisés, l’impact de l’incident sur les opérations de l’entreprise, des informations sur les efforts de remédiation de l’entreprise concernée.
Les nouvelles règles devraient entrer en vigueur le 18 décembre 2023, avec les premières divulgations attendues 90 jours plus tard. Selon le président de la SEC, Gary Gensler, ces règles seront bénéfiques aux investisseurs, aux entreprises et « aux marchés qui les relient ». « Qu’il s’agisse d’une entreprise qui perd une usine dans un incendie ou des millions de fichiers lors d’un incident de cybersécurité », a déclaré Gensler, cela peut être « hardware pour les investisseurs » et ils ont besoin de le savoir.
De nombreuses entreprises cotées en bourse ont déjà adopté leurs propres règles en matière de divulgation des incidents pour les investisseurs, a souligné Gensler, mais le marché pourrait grandement bénéficier du fait que les divulgations soient faites de manière plus cohérente, comparable et « utile pour le socket de décision ». Les entreprises cotées n’auront pas l’obligation de divulguer les détails techniques de leurs plans d’intervention en cas d’incident concernant des vulnérabilités qui pourraient influencer leurs mesures de réponse ou de remédiation.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
