La Securities and Exchange Commission des États-Unis a adopté de nouvelles règles obligeant les sociétés cotées en bourse à divulguer les cyberattaques dans les quatre jours ouvrables après avoir déterminé qu’il s’agissait d’incidents importants.
Selon l’organisme de surveillance de Wall Street, les incidents matériels sont ceux que les actionnaires d’une entreprise publique considéreraient comme importants « pour prendre une décision d’investissement ».
La SEC a également adopté de nouvelles réglementations obligeant les émetteurs privés étrangers à fournir des informations équivalentes à la suite d’atteintes à la cybersécurité.
« Qu’une entreprise perde une usine dans un incendie – ou des millions de fichiers dans un incident de cybersécurité – cela peut être important pour les investisseurs. Actuellement, de nombreuses entreprises publiques fournissent des informations sur la cybersécurité aux investisseurs », a déclaré aujourd’hui le président de la SEC, Gary Gensler.
« Je pense que les entreprises et les investisseurs, cependant, gagneraient à ce que cette divulgation soit faite de manière plus cohérente, comparable et utile à la prise de décision. En aidant à garantir que les entreprises divulguent des informations importantes sur la cybersécurité, les règles actuelles profiteront aux investisseurs, aux entreprises et les marchés qui les relient. »
Les sociétés cotées doivent désormais inclure des détails sur la cyberattaque (y compris la nature, la portée et le moment de l’incident) dans les rapports périodiques, en particulier sur les formulaires 8-K.
Ces nouvelles règles de signalement des incidents de cybersécurité devraient entrer en vigueur en décembre ou 30 jours après leur publication dans le Federal Register.
Cependant, les petites entreprises se verront accorder 180 jours supplémentaires avant d’être tenues de fournir des informations sur le formulaire 8-K.
Dans certains cas, le délai de divulgation peut également être reporté si le procureur général des États-Unis détermine qu’une divulgation immédiate poserait un risque important pour la sécurité nationale ou la sécurité publique.
Divulgations en temps opportun conçues pour accroître la transparence
L’annonce d’aujourd’hui fait suite aux plans d’adoption de ces nouvelles règles révélés par la SEC il y a plus d’un an, en mars 2022.
Les nouvelles règles (PDF) fournissent aux investisseurs des notifications rapides sur les incidents de sécurité qui affectent les sociétés cotées, améliorant leur compréhension de la gestion et de la stratégie des risques de cybersécurité.
Ils exigent la divulgation des informations suivantes liées à la violation (à condition qu’elles soient disponibles au moment du dépôt du formulaire 8-K) :
- La date de découverte et le statut de l’incident (en cours ou résolu).
- Une description concise de la nature et de l’étendue de l’incident.
- Toutes les données qui peuvent avoir été compromises, modifiées, consultées ou utilisées sans autorisation.
- L’impact de l’incident sur les opérations de l’entreprise.
- Informations sur les efforts de remédiation en cours ou terminés par l’entreprise.
Cependant, les entreprises concernées ne sont pas tenues de divulguer les détails techniques de leurs plans de réponse aux incidents ou les détails sur les vulnérabilités potentielles qui pourraient influencer leur réponse ou leurs actions correctives.
Selon Lesley Ritter, vice-président principal de Moody’s Investors Service, les nouvelles règles augmenteront la transparence, mais s’avéreront probablement difficiles pour les petites entreprises.
« Les règles de divulgation de la cybersécurité adoptées par la Securities and Exchange Commission des États-Unis plus tôt dans la journée offriront plus de transparence sur un risque autrement opaque mais croissant, ainsi que plus de cohérence et de prévisibilité », a déclaré Ritter à Breachtrace.
« Une divulgation accrue devrait aider les entreprises à comparer leurs pratiques et peut stimuler l’amélioration des cyberdéfense, mais le respect des nouvelles normes de divulgation pourrait être un plus grand défi pour les petites entreprises aux ressources limitées. »