Mimecast Logo
Obtenir un devis
    Aperçus sur la Cyber Resilience
    Tous les thèmes
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Data Compliance & Governance

    Comprendre les règles de divulgation de la SEC en matière de cybersécurité

    by Andrew Williams

    Une nouvelle ère de cyber-gouvernance

    Les règles de divulgation de la SEC en matière de cybersécurité ont changé la façon dont les entreprises publiques abordent le risque cybernétique et la transparence. Ces règles exigent des entreprises qu'elles signalent les incidents de cybersécurité importants dans un délai de quatre jours ouvrables et qu'elles incluent un compte rendu annuel de leurs processus de gestion des risques et de surveillance par le conseil d'administration dans le formulaire 10-K. Bien qu'ils visent à améliorer la transparence, ces changements se sont avérés difficiles pour les entreprises qui n'étaient pas préparées à la rapidité et à l'étendue de la mise en conformité.

    Les exigences de la SEC obligent les organisations à considérer la cybersécurité comme une priorité commerciale essentielle. Au cours de l'année écoulée, les lacunes en matière de préparation sont devenues évidentes dans tous les secteurs d'activité. Cependant, ces défis ont également permis de tirer des enseignements précieux et de définir des stratégies claires pour aider les entreprises à s'aligner sur les attentes réglementaires tout en renforçant leur résilience.

    Comment les règles de la SEC comblent le fossé en matière d'information sur la cybersécurité

    La règle de divulgation de la SEC en matière de cybersécurité vise à garantir que les investisseurs, les régulateurs et le public reçoivent en temps utile des informations cohérentes et utiles sur les cybermenaces susceptibles d'avoir un impact sur la valeur actionnariale ou la sécurité publique.

    La règle comporte essentiellement deux exigences : premièrement, les entreprises publiques doivent divulguer tout incident de cybersécurité important sur le formulaire 8-K dans les quatre jours ouvrables suivant la détermination de l'importance de l'incident ; deuxièmement, les rapports annuels doivent décrire le processus de gestion des risques de cybersécurité de l'entreprise, la surveillance du conseil d'administration et la question de savoir si le conseil d'administration dispose d'une expertise pertinente en matière de cybersécurité.

    Ce cadre comble des lacunes de longue date dans la divulgation d'informations sur la cybersécurité en introduisant des attentes normalisées en matière d'information qui rendent les risques plus visibles pour les investisseurs et les parties prenantes. Pendant des années, les informations relatives à la cybersécurité ont manqué de cohérence, ce qui a empêché les parties prenantes de se faire une idée précise des menaces importantes.

    L'approche de la SEC garantit que les cyber-risques sont traités sur un pied d'égalité avec les autres risques commerciaux régis par la loi sur les opérations de bourse (Securities Exchange Act), exigeant des organisations qu'elles adoptent une plus grande transparence, qu'elles améliorent les processus de réponse aux incidents et qu'elles tiennent compte des vulnérabilités dans l'ensemble de leur écosystème, y compris chez les fournisseurs tiers.

    Il est important de noter que les nouvelles règles renforcent également la responsabilité de la surveillance des conseils d'administration. Les entreprises doivent expliquer comment leurs conseils d'administration surveillent les risques liés à la cybersécurité, à quelle fréquence ils sont informés et quelle expertise ils apportent. La gouvernance en matière de cybersécurité est ainsi placée au premier plan et la barre de la responsabilité et de la résilience est placée plus haut. Il est donc essentiel pour les entreprises d'aligner leur personnel, leurs processus et leur technologie pour répondre à ces attentes.

    Leçons tirées de la première année

    La première année de mise en œuvre des règles de la SEC a révélé des lacunes importantes dans la planification. Les entreprises ont souvent constaté que leurs processus de réponse aux incidents et leurs cadres de gouvernance n'étaient pas à la hauteur. Des problèmes tels que des seuils de matérialité peu clairs et une coordination fragmentée entre les équipes juridiques, informatiques et exécutives ont retardé l'établissement des rapports et créé des inefficacités internes.

    Toutefois, les entreprises qui ont relevé ces défis avec succès avaient un point commun : la préparation. Ces organisations ont établi des lignes directrices claires pour la prise de décision, ont défini des processus d'escalade et se sont appuyées sur des flux de travail prédéfinis pour traiter efficacement les divulgations. Leur préparation a permis de réduire les retards et de répondre aux exigences réglementaires tout en maintenant la confiance des parties prenantes.

    La conclusion est claire : une planification minutieuse et une gouvernance proactive sont essentielles pour gérer efficacement la conformité.

    Principales stratégies de conformité

    L'adaptation aux règles de la SEC nécessite une approche globale et pratique. La prise en compte de la matérialité, la gestion des risques liés aux tiers et le renforcement de la surveillance par le conseil d'administration sont trois domaines d'action qui peuvent conduire à des rapports plus cohérents et plus efficaces. Explorons-les un peu plus en détail.

    1.) Définition de l'importance relative

    Le concept de matérialité reste l'un des aspects les plus complexes des obligations d'information de la SEC. Les entreprises doivent aller au-delà des détails techniques tels que le nombre d'enregistrements violés ou de systèmes affectés, et évaluer les incidents dans le contexte plus large de l'impact financier, opérationnel, de la réputation et de la réglementation.

    Pour relever ce défi, les organisations peuvent bénéficier de processus structurés d'évaluation de la matérialité. Ces cadres devraient combiner des mesures quantitatives, telles que le coût financier potentiel, avec des facteurs qualitatifs tels que les atteintes à la réputation ou les préoccupations des parties prenantes. L'évaluation et la mise à jour régulières de ces critères permettent de s'assurer qu'ils restent pertinents au fur et à mesure que les risques et les priorités de l'entreprise évoluent. Les entreprises qui disposent de lignes directrices claires en matière de décisions relatives à la matérialité peuvent réagir plus rapidement et plus précisément aux incidents dès qu'ils surviennent.

    2.) Gestion des risques liés aux tiers

    Les tiers, y compris les vendeurs et les prestataires de services, jouent un rôle crucial dans les activités des entreprises modernes, mais ils présentent également des vulnérabilités. Les règles de la SEC obligent les entreprises à divulguer les incidents importants provenant de partenaires externes, soulignant ainsi la nécessité d'une solide gestion des risques liés aux tiers.

    Les organisations peuvent faire face à ce risque en donnant la priorité à la surveillance des fournisseurs en fonction de leur accès aux données et aux systèmes sensibles. Des accords clairs sont essentiels, définissant les responsabilités des fournisseurs en cas d'incidents de sécurité et exigeant une notification rapide en cas de violation. En outre, le contrôle permanent des pratiques de sécurité des fournisseurs peut aider les entreprises à identifier rapidement les faiblesses et à réduire la probabilité de problèmes plus importants.

    La collaboration avec des partenaires tiers permet également de développer un sentiment de responsabilité partagée, de créer des partenariats plus solides et de réduire le risque de surprises en matière de cybersécurité.

    3.) Renforcer le contrôle du conseil d'administration

    Les exigences de la SEC confèrent une plus grande responsabilité aux conseils d'administration, qui doivent veiller à ce que la cybersécurité reste une priorité absolue. Les entreprises doivent indiquer comment leur conseil d'administration supervise les cyberrisques, notamment la fréquence à laquelle les administrateurs sont informés, la manière dont les décisions sont prises et si les membres du conseil d'administration possèdent l'expertise nécessaire.

    Les conseils d'administration peuvent s'adapter à ces attentes en ajoutant des discussions sur la cybersécurité à leur ordre du jour, en se tenant informés des nouvelles menaces et en mettant à jour les politiques de gouvernance pour refléter l'importance accrue de la cybersécurité. Un conseil d'administration qui participe activement à la surveillance des cyberrisques est mieux équipé pour se conformer aux exigences réglementaires et aux attentes des parties prenantes.

    Un regard vers l'avenir : Ce qu'il faut faire maintenant pour se mettre en conformité

    Les règles de la SEC en matière de cybersécurité marquent une évolution vers une plus grande responsabilité et une plus grande transparence. Pour rester compétitives, les entreprises doivent aller au-delà de la conformité et créer des modèles de gestion des risques réfléchis et adaptables.

    Il s'agit notamment d'affiner les cadres de matérialité, d'utiliser la technologie pour surveiller les vulnérabilités et y remédier, et de favoriser une culture où la cybersécurité est considérée comme une responsabilité partagée par toutes les fonctions de l'entreprise. Les entreprises qui investissent dans le développement de ces capacités ne se contenteront pas de répondre aux exigences réglementaires, mais renforceront également la confiance des investisseurs, des partenaires commerciaux et des clients.

    Les organisations qui prennent ces mesures en sortiront plus fortes, mieux préparées à faire face à l'évolution des cybermenaces et positionnées en tant que leaders dans la gestion des risques numériques.

    Formulaire 8-K - Obligations de déclaration

    En vertu du Securities Exchange Act, les entreprises publiques doivent déposer un formulaire 8-K dans les quatre jours ouvrables qui suivent la détermination de l'importance d'un cyberincident. Il s'agit notamment de décrire la nature, la portée et le calendrier de l'événement, ainsi que son impact probable. La SEC a clairement indiqué que les prolongations sont rares et que les dépôts tardifs peuvent donner lieu à un examen minutieux ou à des mesures d'application.

    Les sociétés étrangères classées comme émetteurs privés étrangers doivent fournir des mises à jour similaires au moyen du formulaire 6-K. Cela permet de s'assurer que les registrants internationaux respectent les mêmes normes de transparence.

    Contrôles et procédures de divulgation

    Des contrôles et des procédures de divulgation solides sont essentiels pour que les rapports soient établis dans les délais et avec précision. Les entreprises devraient :

    • Intégrer le risque cybernétique dans les contrôles de divulgation de l'entreprise.
    • Veillez à ce que les équipes interfonctionnelles soient impliquées dans la détermination de l'importance relative.
    • Maintenir des pistes d'audit pour toutes les décisions liées à des incidents matériels de cybersécurité.

    Ce niveau de gouvernance démontre que les exigences en matière d'information sur la gouvernance sont prises au sérieux et renforce la confiance des investisseurs et des régulateurs.

    Implications pour les entreprises publiques

    Les règles de la SEC ont remodelé les attentes en matière de gouvernance d'entreprise. Les entreprises publiques doivent considérer les processus de gestion des risques liés à la cybersécurité comme faisant partie intégrante de leur cadre général de gestion des risques. Cela signifie qu'il faut allouer des ressources à la surveillance continue, former les cadres aux obligations de divulgation des incidents et intégrer la cyber resilience dans la planification stratégique.

    Le non-respect de ces règles peut exposer les organisations à des mesures d'application, à une atteinte à leur réputation et à d'éventuelles poursuites judiciaires. Inversement, les entreprises qui accordent la priorité à la conformité renforcent la confiance des investisseurs et font preuve de leadership dans la gestion des risques matériels qui affectent les opérations et la sécurité publique.

    Rationaliser la conformité avec les règles de divulgation de la SEC en matière de cybersécurité

    Les services de sécurité du courrier électronique de Mimecast apportent un soutien essentiel aux organisations qui naviguent dans les nouvelles règles de divulgation de la SEC en matière de cybersécurité. Ces règlements exigent des entreprises qu'elles signalent les incidents de cybersécurité importants dans les quatre jours ouvrables suivant la détermination de l'importance de l'incident. Mimecast permet aux entreprises de répondre à ces exigences grâce à une suite complète d'outils qui renforcent la sécurité et simplifient la conformité.

    La plateforme de sécurité des emails alimentée par l'IA détecte et prévient les menaces sophistiquées telles que le phishing et les attaques de type Business Email Compromise (BEC), que les mesures de sécurité traditionnelles ne parviennent souvent pas à détecter. En réduisant le risque de ces types d'incidents à signaler, Mimecast aide les organisations à éviter une éventuelle surveillance réglementaire. Cependant, lorsque des incidents se produisent, les solides capacités de réponse aux incidents de Mimecast permettent aux équipes de sécurité d'agir rapidement. De la détection des violations à leur documentation efficace, les équipes peuvent respecter les délais de déclaration à la SEC en toute confiance et avec précision.

    Au-delà des menaces actives, Mimecast s'intéresse également à l'aspect humain de la cybersécurité. La plateforme intégrée de gestion des Human Risk permet de réduire les risques causés par les erreurs des employés, une vulnérabilité courante dans de nombreuses organisations. En favorisant une meilleure sensibilisation à la sécurité, cet outil permet non seulement de minimiser les incidents évitables, mais aussi de renforcer le dispositif de sécurité global.

    La conformité ne se limite pas à la réponse aux incidents, elle exige également une solide tenue de registres. Les solutions d'Email Archive et de conservation des courriels de Mimecast permettent aux entreprises de conserver des dossiers sécurisés et facilement accessibles. Que ce soit dans le cadre d'un examen réglementaire ou d'un audit interne, ces outils offrent la fiabilité et la transparence dont les organisations ont besoin pour répondre aux exigences de la SEC en matière de documentation sur la gestion des risques liés à la cybersécurité.

    En intégrant ces capacités, Mimecast permet aux entreprises de renforcer leur sécurité tout en rationalisant la conformité aux règles de divulgation de la SEC. Découvrez comment Mimecast peut aider votre organisation à rester sécurisée, résiliente et prête à relever les défis actuels en matière de conformité.

    59BLOG_1.jpg
    Up Next
    Data Compliance & Governance |
    Mimecast obtient la certification ISO 14001, renforçant ainsi son engagement en faveur du développement durable

    Related Articles

    Data Compliance & Governance
    Avez-vous un problème de risque de données dans Slack ?
    Data Compliance & Governance
    Le guide complet de l'eDiscovery dans Slack
    Data Compliance & Governance
    Qu'est-ce que l'informatique fantôme ? Exemples, risques et solutions

    Abonnez-vous à Cyber Resilience Insights pour plus d'articles comme ceux-ci

    Recevez toutes les dernières nouvelles et analyses de l'industrie de la cybersécurité directement dans votre boîte de réception.

    Inscription réussie

    Merci de vous être inscrit pour recevoir les mises à jour de notre blog.

    Nous vous contacterons !

    Haut de la page