Changements de règles de la SEC en matière de cybersécurité : Comment Mimecast aide les entreprises à se préparer

Ce blog traite des nouvelles règles proposées par la SEC concernant la gestion des risques de cybersécurité, la stratégie, la gouvernance et la divulgation des incidents. Destinées à donner aux investisseurs une meilleure vision de la manière dont les entreprises publiques traitent les risques de cybersécurité, les nouvelles règles devraient entrer en vigueur en avril 2023. Les règles proposées ne se limitent pas aux menaces externes en matière de cybersécurité. En effet, les nouvelles règles s'appliquent également aux menaces internes (et exigeront la divulgation de certaines d'entre elles), telles que la perte matérielle d'informations sensibles de l'entreprise par des initiés. La détection et l'évaluation des incidents de perte de données par des initiés nécessitent une visibilité en temps réel de la manière dont les données sensibles de l'entreprise quittent ses "quatre murs". Comprendre comment les données de l'entreprise circulent à l'intérieur et à l'extérieur de l'entreprise est également un élément clé de tout programme efficace de lutte contre les risques d'initiés. Les produits et services de Mimecast offrent aux entreprises la visibilité nécessaire et les informations exploitables pour aider les entreprises publiques à se conformer aux nouvelles règles proposées par la SEC en ce qui concerne la perte de données ou les fuites par des initiés, tout en éduquant votre entreprise à l'échelle afin de prévenir les incidents futurs.

Contexte

En mars 2022, la Securities and Exchange Commission (SEC) a proposé de nouvelles règles qui améliorent et normalisent la manière dont les entreprises publiques signalent les incidents de cybersécurité et publient des informations périodiques sur la gestion, la stratégie et la gouvernance des risques liés à la cybersécurité. Les règles proposées sont plus prescriptives et s'éloignent des orientations fondées sur des principes que la SEC a publiées en 2011 et en 2018. En proposant ces nouvelles règles, la SEC a reconnu que la cybersécurité est un risque de plus en plus répandu pour les entreprises publiques et, par conséquent, un sujet sur lequel les investisseurs veulent en savoir plus. Les nouvelles règles conduiront à des informations plus "cohérentes, comparables et utiles à la prise de décision" qui permettront aux investisseurs de mieux évaluer l'exposition aux risques de cybersécurité des entreprises publiques et leur capacité à répondre à ces risques et à les atténuer.

Mise à jour du 26/07/2023 : La Securities and Exchange Commission (SEC) exige désormais formellement des entreprises publiques qu'elles divulguent les incidents dans les quatre jours suivant toute atteinte à la cybersécurité.

Incidents matériels de cybersécurité

Les règles proposées exigent que les entreprises publiques déclarent sur le formulaire 8-K les informations suivantes dans un délai de quatre jours ouvrables après avoir déterminé qu'elles ont subi un incident de cybersécurité important :

• Quand l'incident a été découvert et s'il est en cours
• Une description de la nature et de la portée de l'incident
• si des données ont été volées, modifiées, consultées ou utilisées à d'autres fins non autorisées
• L'effet de l'incident sur les activités de l'entreprise
• L'entreprise a-t-elle remédié ou est-elle en train de remédier à l'incident ?
• Parmi les exemples cités par la SEC qui déclencheraient l'obligation de déclaration figure le vol, l'indisponibilité ou l'utilisation non autorisée d'informations commerciales sensibles ou de propriété intellectuelle.

Il est important de noter que les règles proposées ne font pas de distinction entre les événements de cybersécurité causés par des acteurs extérieurs et ceux qui résultent d'un risque interne accidentel ou malveillant. S'ils sont significatifs, les deux types d'incidents doivent être signalés. Une information est importante s'il est probable qu'un actionnaire raisonnable la considère comme importante pour prendre une décision d'investissement ou si elle aurait "modifié de manière significative l'ensemble des informations mises à disposition". Ainsi, par exemple, la perte de données relatives aux clients ou aux employés, de propriété intellectuelle telle que le code source ou les documents de conception, d'informations financières ou de données commerciales ou opérationnelles - qu'elle soit imputable à un initié ou à un acteur extérieur - serait à déclarer si un actionnaire raisonnable considérait cette perte comme importante pour la prise d'une décision d'investissement. Doit également être déclarée une série de pertes de données qui, prises dans leur ensemble, sont devenues significatives - par exemple, l'exfiltration d'un code source au fil du temps.

En outre, les rapports trimestriels et annuels des entreprises (formulaires 10-Q et 10-K) devront contenir des informations actualisées sur les incidents de cybersécurité, par exemple sur l'impact de ces incidents sur l'entreprise, sur les mesures correctives prises ou sur les changements intervenus dans l'état de préparation de l'entreprise en matière de cybersécurité.

Informations élargies dans les rapports annuels et trimestriels

Selon les règles proposées par la SEC, les entreprises publiques doivent fournir des informations détaillées sur les politiques et les procédures d'identification et de gestion des risques de cybersécurité dans les formulaires 10-Q et 10-K qu'elles déposent. Il s'agit notamment (mais pas exclusivement) d'informations concernant

• Programme(s) d'évaluation des risques de cybersécurité
• Engagement d'auditeurs ou d'évaluateurs tiers dans le programme d'évaluation
• Politiques et procédures d'identification des risques
• Activités visant à prévenir, détecter et minimiser les incidents de cybersécurité
• Incidents de cybersécurité ayant entraîné des modifications de la gouvernance, des politiques ou de la technologie
• Comment l'entreprise considère-t-elle les risques de cybersécurité comme faisant partie de sa stratégie commerciale et de sa planification financière ?

Les règles exigent également des informations sur le rôle et l'expertise de la direction de l'entreprise en matière d'évaluation et de gestion des risques et des incidents liés à la cybersécurité. Il s'agit notamment (mais pas exclusivement) d'informations concernant

• la présence de postes de direction ou de comités responsables de la prévention, de l'atténuation, de la détection et de la correction des incidents de cybersécurité, ainsi que l'expertise pertinente de ces personnes ou membres
• Le responsable de la sécurité de l'information ou une personne occupant un poste équivalent et, le cas échéant, son expérience et la personne à laquelle il rend compte.
• Processus mis en place pour garantir que les personnes ou les comités sont informés de la prévention, de l'atténuation, de la détection et de la correction des incidents liés à la cybersécurité et qu'ils en assurent le suivi
• si et à quelle fréquence le conseil d'administration ou un comité du conseil d'administration examine la position et les programmes de cybersécurité

Les entreprises ont besoin de technologies pour réduire et gérer le risque de perte de données par des initiés

Les entreprises publiques doivent s'assurer qu'elles disposent de la technologie appropriée pour détecter et enquêter sur les incidents liés à la fuite ou à la perte de données résultant des actions d'un employé ou d'un contractant. Même si les entreprises ont investi dans des systèmes de gestion des identités ou des outils de protection des données dans le nuage, elles doivent s'assurer qu'elles disposent d'une vision complète des risques liés aux initiés pour toutes les activités des employés et des sous-traitants sur leurs ordinateurs portables et les systèmes dans le nuage de l'entreprise.

Les entreprises ont besoin de plus de visibilité pour éliminer les zones d'ombre des données

Compte tenu du large éventail de données qui, en cas de perte ou de vol, pourraient donner lieu à des obligations de déclaration en vertu des règles proposées, les entreprises publiques doivent avoir une visibilité sur les fichiers qui quittent leur entreprise et disposer de procédures efficaces (manuelles, automatisées ou technologiques) pour les trier et y répondre. Ceci est particulièrement important dans le cas des employés ou des sous-traitants qui quittent l'entreprise, car ils sont plus susceptibles d'emporter des informations sensibles (accidentellement ou par malveillance) qui pourraient être utilisées par des concurrents actuels ou futurs.

Les entreprises doivent savoir quels fichiers ont été pris ou divulgués par des initiés

Les règles proposées par la SEC exigent que les entreprises soient en mesure de déterminer rapidement si un incident lié à un risque d'initié est important ou non. Pour ce faire, l'entreprise doit savoir quelles informations ont été mises en danger, comment et quand, et ce le plus rapidement possible. Forte de ces informations, une entreprise peut agir immédiatement pour contenir la situation, atténuer son impact afin qu'il n'atteigne pas le niveau de matérialité, et éviter ce qui, autrement, pourrait être un incident de cybersécurité à déclarer. Cependant, les entreprises manquent souvent de visibilité sur le mouvement des fichiers. Trop souvent, les détails d'un incident lié à un risque d'initié ne sont connus que longtemps après que l'occasion de prendre des mesures rapides et efficaces s'est évanouie. À l'avenir, les entreprises publiques devront disposer d'une technologie qui leur permette de savoir rapidement quels fichiers ont été impliqués dans un incident et de déterminer rapidement la matérialité de l'incident.

Les entreprises ont besoin de technologies permettant de détecter et d'enquêter rapidement sur la perte de données par des initiés

Selon les règles proposées, il devient important pour les entreprises d'utiliser des outils et des technologies qui les aident à identifier, prioriser, détecter et répondre aux incidents de perte de données par des initiés. Les outils doivent les aider à classer par ordre de priorité les éléments présentant le plus de risques afin que ces incidents soient triés et gérés en temps utile.

Les entreprises doivent veiller à documenter correctement tous les incidents d'initiés ayant fait l'objet d'une enquête

Les incidents d'initiés peuvent concerner toutes sortes d'informations sur l'entreprise. Il devient impératif pour les entreprises de disposer d'outils et de procédures permettant de documenter correctement tous les incidents d'initiés ayant fait l'objet d'une enquête, afin d'étayer leurs déclarations à la SEC et leurs déterminations de l'importance relative (y compris la décision de ne pas signaler un incident de cybersécurité).

Les entreprises ont besoin d'une technologie pour empêcher les employés les plus à risque de s'emparer de fichiers sensibles

Dans une entreprise moderne, il n'est pas pratique d'interdire aux employés de partager des fichiers et des informations entre eux, ou de les empêcher d'accéder aux outils et systèmes du nuage public pour faire leur travail. Leur productivité dépend souvent de l'accès à ces outils - même s'il s'agit d'outils non professionnels tels que Dropbox ou leur messagerie personnelle. Toutefois, dans certains cas, et pour certaines personnes à haut risque, comme les employés ou les sous-traitants qui quittent l'entreprise, les entreprises doivent s'assurer qu'elles peuvent les empêcher de transférer des fichiers vers des messageries électroniques personnelles, des clés USB ou des comptes personnels dans le nuage, comme Dropbox. Cette approche réduit considérablement le risque le plus courant de voir des individus s'emparer accidentellement ou intentionnellement d'informations sensibles.

Les entreprises ont besoin de stratégies globales pour minimiser les risques d'intrusion de la part de leurs employés et de leurs sous-traitants

La plupart des incidents de perte de données par des initiés sont involontaires ou accidentels. Les entreprises doivent investir dans des outils capables de détecter ces événements à faible risque et d'enseigner automatiquement aux utilisateurs comment mieux protéger les informations de l'entreprise. Si les entreprises investissent actuellement dans la formation annuelle de leurs employés en matière de sécurité, ces approches sont souvent inefficaces. Les entreprises doivent se concentrer davantage sur l'éducation corrective juste à temps afin de réduire activement le risque de fuite d'informations importantes par des initiés. Cela doit faire partie de la culture de sécurité de l'entreprise.

Les entreprises ont besoin d'une participation adéquate des parties prenantes au cours des enquêtes

Afin de déterminer la matérialité en temps utile, les entreprises doivent faire évoluer leurs processus de réponse aux incidents de cybersécurité pour garantir une collaboration plus large entre les services de sécurité, les services juridiques, les services de conformité, le directeur financier, les parties prenantes des secteurs d'activité telles que les vice-présidents ou les directeurs de département, et les cadres de l'entreprise. En effet, il est impossible pour une personne ou une équipe au sein de l'équipe de sécurité de l'information de déterminer l'importance relative d'une manière raisonnable.

Impact sur les entreprises

L'impact commercial du risque d'initié est réel et peut être considérable. La perte d'un code source, d'une liste de clients ou d'autres éléments clés de la propriété intellectuelle peut entraver considérablement la capacité d'une entreprise à faire face à la concurrence. En outre, comme les entreprises peuvent ignorer l'exfiltration de données pendant des semaines, des mois, voire des années, la récupération de la propriété intellectuelle perdue peut s'avérer une bataille difficile, coûteuse et chronophage. Les ressources qui pourraient être utilisées pour développer les activités de l'entreprise sont plutôt consacrées aux avocats, aux litiges et aux enquêteurs judiciaires. De même, l'exposition non autorisée ou le vol de données personnelles peut entraîner des rapports réglementaires, des amendes et des efforts coûteux pour remédier à la violation. Et tout incident de cybersécurité peut nuire à la réputation d'une entreprise sur le marché. La visibilité des données est essentielle non seulement pour se conformer aux nouvelles règles de la SEC en matière de rapports sur les incidents de cybersécurité, mais aussi pour prévenir les incidents de cybersécurité ou en atténuer les effets.

Comment Mimecast peut vous aider à faire face à ces nouvelles exigences de la SEC

Mimecast Incydr et Mimecast Instructor sont spécifiquement conçus pour aider les entreprises à prévenir, détecter, enquêter et répondre rapidement à la perte de données par des initiés. Les produits de Mimecast offrent un large éventail de fonctionnalités qui simplifient la charge de travail des entreprises pour gérer le risque de cybersécurité dû aux initiés. Mimecast fournit également une expertise de premier ordre et des conseils en matière de bonnes pratiques sur la manière de traiter les aspects de la réduction des risques qui vont au-delà de la technologie, à savoir les questions relatives aux personnes et aux processus. Voici quelques-unes des capacités différenciées de Mimecast :

La plus grande étendue de détection d'exfiltration de données à travers les systèmes Endpoint et Cloud

Incydr inclut une détection d'exfiltration à la pointe de l'industrie sur les terminaux (Windows, Mac, Linux) et les systèmes en nuage. Mimecast peut détecter et alerter sur les mouvements de fichiers à risque, quel que soit le type de fichier - code source, fichiers commerciaux, fichiers zip, etc. La détection porte sur les mouvements de données via les navigateurs web et les clés USB, mais aussi sur des vecteurs d'exfiltration plus récents tels que Airdrop et Git (outil de gestion du code source). Mimecast détecte également les activités de partage de fichiers à risque dans les référentiels en nuage de l'entreprise tels que Office365, Google Drive, Box, les systèmes de messagerie de l'entreprise et Salesforce. Mimecast fournit également aux entreprises des détails contextuels complets sur l'incident (qui, quoi, quand et comment) afin que les équipes chargées de l'enquête puissent rapidement décider de la marche à suivre.

Accès aux fichiers exfiltrés pour une détermination rapide de la matérialité

Dans tous les cas d'exfiltration de données détectés (quel que soit le score de risque), Mimecast conserve automatiquement une copie du fichier exfiltré. Cela permet aux enquêteurs de consulter et d'inspecter les dossiers impliqués dans un incident afin de déterminer rapidement leur importance. Les clients n'ont pas besoin de faire quoi que ce soit de spécial ou de gérer des référentiels de sécurité pour utiliser cette fonctionnalité.

Fonctionnalité de Case Management pour documenter avec précision les détails pertinents de l'enquête

Mimecast intègre des fonctions de case management qui permettent aux entreprises de suivre et d'enregistrer les enquêtes sur les risques d'initiés. Cela permet aux équipes d'enquêteurs de suivre en toute sécurité les incidents sensibles et de les gérer séparément des autres systèmes de gestion des incidents informatiques ou de sécurité. Les dossiers peuvent contenir tous les détails des événements de sécurité en question et peuvent garder une trace des fichiers réels impliqués dans un incident. Les cas peuvent être facilement exportés à des fins d'archivage permanent, de collaboration et d'audit.

Priorité aux risques d'initiés pertinents pour éviter l'épuisement des enquêtes

Incydr évalue automatiquement les actions risquées des initiés et fournit des règles d'alerte et de priorisation configurables pour s'assurer que les équipes de sécurité et d'investigation ne sont pas submergées par un trop grand nombre d'alertes ou de faux positifs. Incydr comprend plus de 250 indicateurs de risque Incydr - y compris des attributs de fichiers, d'utilisateurs et de comportements - qui sont suivis dès le premier jour d'utilisation afin de minimiser le temps de détection. Cela permet aux équipes d'enquêteurs d'identifier rapidement les incidents les plus pertinents et d'enquêter en temps voulu.

Vue historique de l'activité des utilisateurs et des fichiers pour renforcer les enquêtes

Mimecast conserve l'historique des événements d'exfiltration de fichiers par les utilisateurs afin que les enquêteurs puissent remonter dans le temps pour déterminer si un utilisateur ou un fichier donné a été impliqué dans des incidents non matériels antérieurs. Cela se produit automatiquement, que ces événements antérieurs aient fait l'objet d'une enquête ou non. Les événements historiques peuvent être sauvegardés jusqu'à 180 jours (selon le produit acheté).

Blocage de l'exfiltration

Incydr comprend des fonctionnalités permettant de bloquer les utilisateurs à haut risque, tels que les employés qui quittent l'entreprise, les récidivistes et les sous-traitants, afin qu'ils ne déplacent pas les données des ordinateurs portables de leur entreprise vers des destinations en nuage ou des clés USB non fiables. L'approche puissante de Mimecast, basée sur les listes de surveillance, pour bloquer les mouvements de fichiers à risque combine les avantages de la réduction des risques par ces personnes à haut risque tout en garantissant que les membres de l'équipe de sécurité ne sont pas accablés par des tâches complexes de gestion des règles.

Formation automatisée des employés pour minimiser et atténuer les risques de perte de données par des initiés

Incydr et Instructor facilitent la formation automatisée et juste à temps des employés afin d'atténuer et de gérer l'exposition accidentelle ou à faible risque des données par les employés. Les employés sont automatiquement contactés via Slack, Microsoft Teams ou par courriel et se voient présenter des leçons vidéo en petits morceaux qui les aident à comprendre pourquoi leurs actions étaient risquées et comment les éviter à l'avenir. Cette approche présente le double avantage de réduire les risques au fil du temps en raison des infractions répétées, tout en réduisant la charge d'investigation des équipes de sécurité. Cela permet aux entreprises de disposer d'une stratégie de réduction des risques bien équilibrée qui se concentre sur tous les niveaux de risque de perte de données.

Pratiques d'experts sur la gestion de programmes efficaces de lutte contre le risque d'initiés (personnes, processus et technologie)

L'équipe de Mimecast produit et fournit des conseils sur les meilleures pratiques et des formations pour les clients sur la façon de gérer efficacement leurs programmes de risques d'initiés d'une manière qui correspond aux objectifs et à la culture de leur organisation. Des modèles de politiques, des flux de travail idéaux et des lignes directrices sur les meilleures pratiques sont fournis à tous les clients de Mimecast sans frais supplémentaires. Mimecast propose également des services d'experts rémunérés dans le cadre desquels des conseillers en risques d'initiés travaillent directement avec les clients pour les aider à mettre en place ou à développer des programmes de risques d'initiés afin de s'assurer qu'ils sont efficaces et conformes aux exigences réglementaires.

Le bilan

Avec ses nouvelles règles en matière de cybersécurité, la SEC vise à améliorer la culture de la sécurité dans les sociétés cotées en bourse et à renforcer la transparence pour la SEC et les investisseurs. La perte accidentelle ou malveillante de données par des initiés peut entraîner des obligations de déclaration en vertu des règles proposées, et les entreprises devront publier régulièrement des informations sur leur dispositif de gestion des risques liés aux initiés. Incydr aide les entreprises à prévenir, détecter, enquêter et remédier aux pertes de données et permettra aux entreprises publiques de se conformer au nouveau cadre de divulgation de la SEC en ce qui concerne les incidents liés aux risques d'initiés.

Références supplémentaires

• Règles proposées par la Securities and Exchange Commission
• Fiche d'information : Règles proposées en matière de cybersécurité pour les entreprises publiques
• Impact des règles proposées par la SEC sur les enquêtes et la stratégie de réponse en matière de cybersécurité