La SEC a promulgué de nouvelles règles de cybersécurité règles de divulgation pour les sociétés cotées en bourse, qui entrera en vigueur le 15 décembre 2023. Ces règles imposent aux sociétés fournir des détails complets sur la manière dont ils évaluent, identifient et gèrent les risques matériels de cybersécurité dans leurs rapports annuels (Formulaire 10-K). Ils exigent des organisations qu'elles décrire le rôle du conseil d'administration dans la surveillance des risques liés à la cybersécurité. Enfin, la SEC exige que les entreprises signaler les incidents de cybersécurité importants dans un délai de quatre jours (formulaire 8-K).
Cette réglementation a un impact significatif sur les entreprises et les responsables de la sécurité des systèmes d'information (RSSI). Ces derniers sont mis sous les projecteurs et chargés d'assurer une communication claire et rapide concernant les mesures et les incidents de cybersécurité de leur entreprise. Cette visibilité accrue exige des RSSI qu'ils entretiennent des canaux de communication solides avec les dirigeants et les membres du conseil d'administration. Ils doivent également aligner leurs stratégies de cybersécurité sur les objectifs de l'entreprise et les exigences réglementaires.
Pour les PDG et les membres du conseil d'administration, la réglementation renforce l'importance accordée à la résilience en matière de cybersécurité au sein de la gouvernance d'entreprise. Ils sont chargés de participer activement à l'élaboration et à la supervision des stratégies de cybersécurité. Le conseil d'administration est désormais chargé de garantir non seulement la conformité, mais aussi l'efficacité du programme de cybersécurité de l'entreprise. Cette évolution souligne l'évolution du rôle de la gouvernance d'entreprise dans la gestion des cyberrisques. Elle souligne l'intérêt croissant des investisseurs pour la manière dont les entreprises sont préparées à gérer et à atténuer les cybermenaces.
Les investisseurs sont de plus en plus préoccupés par les implications de la cybersécurité pour leurs investissements. Cette préoccupation est alimentée par la multiplication des cyberincidents de grande ampleur, tels que les attaques par rançongiciel et les violations de données. Ils accordent la priorité à la cybersécurité, au même titre que les enjeux environnementaux, sociaux et de gouvernance (ESG). Cela se reflète dans Enquête sur l'investissement responsable de RBC Global Asset ManagementLes investisseurs recherchent des données de cybersécurité claires, fiables et exploitables pour éclairer leurs décisions d'investissement. Ils ont besoin d'indicateurs clairs de résilience en matière de cybersécurité, sans pour autant posséder de connaissances techniques approfondies dans le domaine. Une bonne cybersécurité est non seulement perçue comme un facteur d'atténuation des risques, mais aussi comme un indicateur de la solidité de la gouvernance d'entreprise et de la qualité de la gestion. Ces qualités rendent les entreprises plus attractives pour les investisseurs. Des outils intégrant des indicateurs de cybersécurité permettent d'évaluer le niveau de préparation d'une entreprise en matière de cybersécurité. Par conséquent, les meilleurs responsables de la sécurité des systèmes d'information (RSSI) sont informés de ces évaluations des investisseurs. Les RSSI performants veillent à ce que les mesures de cybersécurité de leur organisation soient efficacement communiquées. Les RSSI efficaces mettent en avant les tendances mondiales, telles qu'une plus grande transparence et une plus grande responsabilisation dans les rapports de cybersécurité. Cela contribue à apaiser les inquiétudes des investisseurs et de la communauté financière.
La nouvelle réglementation de la SEC sur la cybersécurité requiert l'implication de la haute direction. Les dirigeants des entreprises doivent être impliqués dans l'élaboration de stratégies de divulgation d'informations en matière de cybersécurité. Les RSSI réunissent les dirigeants pour examiner la cyber-résilience ou la préparation à la cybersécurité de leurs entreprises. Ces réunions permettent de mieux comprendre l'impact de ces réglementations sur votre entreprise et ses parties prenantes. Elles incluent généralement le RSSI, le directeur juridique, le directeur des risques (le cas échéant), le directeur financier et le responsable des relations avec les investisseurs. Les principaux points de discussion portent sur la personne responsable des efforts de divulgation et sur le rôle du RSSI dans le signalement des risques et des incidents. Les discussions doivent définir et valider les stratégies de collaboration, la communication avec les investisseurs et la définition d'un « système de gestion des risques ».Matériel« incident cybernétique relatif aux opérations de l'entreprise qui nécessite désormais un signalement sur le 8-K.
Ces discussions doivent établir une matrice de responsabilité claire au sein de votre entreprise en matière de divulgation d'informations en matière de cybersécurité. Les RSSI doivent également veiller à ce que leur approche en matière de cybersécurité soit communiquée efficacement aux investisseurs, répondant ainsi à leurs attentes en matière de transparence. et Compréhension. Votre équipe de direction doit également prendre en compte les stratégies de communication existantes de l'entreprise en matière de cyberrisque. Elle doit déterminer si de nouvelles méthodes, telles qu'un rapport de cybersécurité indépendant (audit annuel par un tiers), sont nécessaires pour communiquer clairement sur la gouvernance de ces risques. Il ne s'agit pas seulement de conformité ; il s'agit d'élaborer un discours externe et interne éclairé et cohérent sur la gouvernance de la cybersécurité. Le RSSI joue un rôle essentiel, mais non exclusif, dans ce processus. Les résultats de ces réunions façonneront la stratégie de cybersécurité de l'entreprise et les relations avec les investisseurs.
Conformément aux nouvelles exigences de la SEC, les organisations doivent divulguer diverses informations permettant aux investisseurs de comprendre leurs processus de gestion des risques de cybersécurité. Ces informations incluent la stratégie de cybersécurité de l'organisation et sa gestion des risques liés aux tiers. Un cadre couramment utilisé pour ces évaluations des risques est le Cadre de cybersécurité du NIST (NSF). Alternativement, certaines entreprises utilisent le Norme de gestion des risques NIST 800-171 pour leur stratégie de conformité. L'équipe de direction, composée du DSI, du RSSI, du PDG, du directeur financier et du conseil d'administration, doit ensuite élaborer un programme de reporting décrivant les résultats obtenus et l'atténuation des risques pour l'entreprise par rapport aux contrôles décrits dans ces méthodes d'évaluation.
En outre, les entreprises sont censées partager des détails sur les politiques clés, les contrôles techniques et les évaluations de sécurité indépendantes telles que Certifications SOC 2. Les indicateurs du programme sont présentés en détail, détaillant son efficacité et les protocoles de gestion des incidents. La couverture d'assurance cybernétique est validée, ce qui contribue à réduire les risques financiers liés aux cyberincidents et à déterminer l'importance des événements et problèmes de cybersécurité.
Les RSSI sont chargés de collecter ces données par le biais d'analyses documentaires et de consultations avec leurs équipes de cybersécurité et leurs dirigeants. Comme de nombreuses organisations n'ont pas facilement accès à toutes ces informations, il peut être judicieux de constituer une équipe pluridisciplinaire pour faciliter le processus de collecte. Vous pouvez adopter CyberHoot et enregistrer des indicateurs pour chaque employé qui approuve ses politiques de gouvernance, suit des vidéos de sensibilisation et réalise des simulations et des tests d'hameçonnage. L'objectif final est de rendre compte au conseil d'administration, aux cadres dirigeants et aux…investisseurs raisonnables« un récit à la fois accessible et compréhensible par tous.
Bien que les entreprises qui élaborent leurs programmes puissent s'interroger sur ce que font les autres, il est important de concevoir votre propre programme de conformité et de reporting en fonction de votre taille, de vos capacités et des attentes des investisseurs. Il existe des sources d'informations centralisées que vous pourriez consulter pour le développement de votre propre programme. Par exemple, en 2022, une analyse réalisée par l' Centre EY pour les affaires du conseil d'administration Les informations divulguées par les entreprises du Fortune 100 ont révélé une transparence accrue dans la gestion des risques de cybersécurité.
Malgré les révélations passées, la nouvelle réglementation de la SEC en matière de cybersécurité exige l'adoption de pratiques de reporting détaillées et potentiellement transformatrices, en commençant par les sociétés cotées en bourse. Bien que ces règles ciblent principalement les sociétés cotées en bourse, les autres entreprises privées et de plus petite taille devraient se familiariser avec ces nouvelles règles et commencer à préparer et à surveiller leurs opérations afin d'assurer leur propre résilience et leur préparation en matière de cybersécurité.
Les entreprises doivent relever le défi de déterminer ce qui constitue un «Matériel« Incident de cybersécurité à des fins de divulgation, comme l'exige la SEC. Un incident important est défini par la SEC comme suit :un élément qui serait considéré comme important par un investisseur raisonnable prenant une décision d'investissement"Cette détermination va au-delà des seuils financiers et prend en compte des données quantitatives et qualitatives. Elle inclut les incidents entraînant une atteinte à la réputation ou le vol d'informations qui, bien que non quantifiables financièrement, ont un impact significatif sur les individus ou l'entreprise.
La SEC suggère que, si l'impact financier est généralement pris en compte, l'ampleur et la nature des dommages doivent également être évaluées. Pour une compréhension approfondie des impacts potentiels, les entreprises sont encouragées à quantifier financièrement les cyberrisques. Cette analyse peut révéler les faiblesses des programmes, les besoins d'investissement et les stratégies d'atténuation des risques.
Les RSSI, bien qu'ils ne soient généralement pas les arbitres finaux de la matérialité, doivent être étroitement impliqués dans le processus d'évaluation et dans l'élaboration de stratégies proactives de remédiation des risques. La matérialité des incidents doit être déterminée au cas par cas par le conseiller juridique, le PDG et le conseil d'administration. La décision relative à la matérialité doit tenir compte des circonstances spécifiques et des implications potentielles pour l'entreprise et ses parties prenantes.
La SEC impose des exigences de divulgation spécifiques pour les cyberrisques liés aux tiers, reconnaissant leur potentiel important d'incidents de cybersécurité. Avec le nombre croissant d'entreprises externalisant leurs activités auprès de fournisseurs pour gagner en efficacité et en compétitivité, les risques liés aux vulnérabilités des tiers et de la chaîne d'approvisionnement se sont intensifiés. Il est conseillé aux RSSI d'établir une stratégie robuste de gestion des cyberrisques liés aux tiers, comprenant l'identification et la priorisation des partenaires tiers (souvent en fonction de la criticité des données qu'ils détiennent ou auxquelles ils peuvent accéder), la réalisation d'évaluations des risques cybernétiques et la surveillance continue de ces entités pour détecter les nouvelles menaces. Un programme complet est essentiel pour les RSSI afin de garantir aux parties prenantes une gestion efficace des risques et le respect des exigences de divulgation de la SEC.
Ces évolutions soulignent l'importance stratégique de la cybersécurité dans la gouvernance d'entreprise et la nécessité pour les dirigeants d'être bien informés et proactifs dans la surveillance de la cybersécurité. Elles témoignent également d'une tendance vers une plus grande transparence dans la gestion et la communication des données en matière de cybersécurité par les entreprises, l'accent étant mis sur la création d'une solide culture de la sécurité, en phase avec les intérêts des investisseurs et les attentes réglementaires.
Sources:
https://www.sec.gov/news/press-release/2023-139
Découvrez et partagez les dernières tendances, conseils et meilleures pratiques en matière de cybersécurité, ainsi que les nouvelles menaces à surveiller.
Guide pratique pour les RSSI virtuels : L’AVERTISSEMENT QUE NOUS AVONS IGNORÉ OU QUE NOUS N’AVONS PAS COMPRIS Pendant des années, les sources les plus crédibles…
En savoir plus
Un guide pour repérer les arnaques par usurpation d'identité de hauts dirigeants avant que le faux PDG ne reçoive un véritable virement bancaire.
En savoir plus
L'intelligence artificielle (ou IA) rend les courriels d'hameçonnage plus intelligents, les logiciels malveillants plus sournois et le vol d'identifiants plus facile...
En savoir plusAyez une vision plus précise des risques humains, grâce à une approche positive qui surpasse les tests de phishing traditionnels.
