Nouvelles règles de la SEC : déclaration des incidents importants via les divulgations en cybersécurité

Les règles de la Securities and Exchange Commission (SEC) publiées le 26 juillet 2023 exigent que presque toutes les entreprises déposant des documents auprès de la SEC (« déclarants ») décrivent les processus et procédures de gestion qu'elles utilisent pour évaluer, identifier et gérer les risques liés à la cybersécurité. Ces nouvelles réglementations visent à fournir aux investisseurs et aux acteurs du marché des informations fiables et en temps utile concernant les conséquences de tout incident de cybersécurité important.

Quelles sont les nouvelles exigences de la SEC ?

Concernant les règles de notification des violations, les entités enregistrées auprès de la SEC doivent divulguer des informations sur les incidents de cybersécurité importants dans un délai de quatre jours ouvrables. La SEC définit un incident important comme un événement qu’un investisseur raisonnable considérerait probablement comme significatif lors de la prise d’une décision d’investissement, tels que les violations de données, les demandes de rançon et les accès non autorisés aux systèmes. Le rapport doit inclure la nature, l’étendue et le moment de l’incident.

Plus important encore, les déclarants doivent également expliquer leur raisonnement lorsqu'ils décident qu'un incident n'est pas significatif et n'est pas lié à des incidents antérieurs. Par exemple, si une violation de données nécessite une réponse immédiate et des efforts de remédiation importants de la part d'une équipe de sécurité, elle est considérée comme devant être signalée selon les directives de la SEC, indépendamment d'une perte financière importante ou du vol de données clients.

De plus, les nouvelles règles de la SEC introduisent le règlement S-K article 106, qui exige que les déclarants détaillent leurs méthodes d'identification, d'évaluation et de gestion des risques importants liés à la cybersécurité. Cela inclut la discussion des effets de ces risques et de tout incident antérieur de cybersécurité, ainsi que l'explication du rôle du conseil d'administration et de la direction dans la supervision et la gestion de ces menaces liées à la cybersécurité.

Quelles entreprises sont tenues de se conformer ?

Les nouvelles règles concernent toutes les entités américaines et les émetteurs privés étrangers soumis aux obligations de déclaration en vertu de l’Exchange Act de la SEC. Selon la SEC, les émetteurs privés étrangers sont des entités capables de démontrer qu’elles sont détenues à moins de 50 % par des investisseurs américains ou, même si elles sont détenues à plus de 50 % par des investisseurs américains, qu’elles ne sont pas situées ou gérées aux États-Unis, ou gérées par du personnel américain. Les règles s’appliquent également aux sociétés de développement commercial (« BDC »), qui sont des fonds d’investissement à capital fixe conçus pour permettre aux investisseurs particuliers d’allouer des fonds à des petites et moyennes entreprises privées et d’investir dans divers autres actifs, y compris des sociétés cotées en bourse.

Quels sont les délais pour se conformer ?

La divulgation des incidents importants pour les déclarants nationaux doit être déposée dans un délai de quatre jours ouvrables après avoir déterminé qu’un incident de cybersécurité est important. Les déclarants doivent commencer à se conformer à partir du 18 décembre 2023. Il existe certaines exceptions, par exemple pour les entreprises dont le chiffre d'affaires annuel est inférieur à 100 millions de dollars.

En parallèle, tous les déclarants doivent fournir des informations sur la cybersécurité dans leurs rapports annuels pour les exercices se terminant le 15 décembre 2023 ou après cette date.

Quelles sont les sanctions ?

Lors de la déclaration d'incidents significatifs de cybersécurité à la SEC, les entreprises doivent réfléchir aux types de données affectées et à l'impact sur leurs activités et leurs finances. Le non-respect de ces directives peut entraîner des sanctions de plusieurs millions de dollars.

Comment pouvez-vous garantir la conformité avec les exigences de divulgation de la SEC ?

Les délais pour signaler des incidents à la SEC sont très stricts, car la plupart des incidents doivent être déclarés en quelques jours. Les entreprises doivent donc déjà disposer des personnes, des processus et des outils nécessaires pour analyser un incident et soumettre un rapport dans les temps. Voici deux points clés à prendre en compte pour les entreprises :

• Identifier qu’un incident critique est significatif, ou au contraire pouvoir prouver qu’il ne l’est pas, peut s’avérer complexe et difficile. Cela nécessite des ressources et des outils pour mener des processus détaillés afin de déterminer ce qui a conduit à l’incident, quelles données ont potentiellement été compromises, et quel niveau de risque ces données compromises représentent pour l’entreprise concernée ainsi que pour les individus.
• Rapporter la manière dont le conseil d'administration gère les risques liés à la cybersécurité. Cela signifie que les équipes de direction doivent disposer de systèmes et de processus efficaces pour répondre aux questions de la SEC. Elles doivent expliquer quels systèmes sont en place pour comprendre les données concernées et comment elles peuvent remédier rapidement aux incidents de cybersécurité majeurs.
  

Comment Cyera vous aide à vous conformer aux nouvelles règles de la SEC

Cyera permet aux entreprises d'analyser et d'accélérer leur réponse aux incidents majeurs impliquant la compromission de données. Notre solution aide les entreprises à se conformer aux nouvelles règles de la SEC grâce à :

Visibilité sur les données réglementées : Cyera offre une visibilité sur toutes les données, en particulier les données réglementées. Cela inclut les données détenues par l'entreprise, leur emplacement, les personnes qui y ont accès et leur utilisation. Cette approche proactive est essentielle pour comprendre l'impact d'un incident majeur.‍

Contexte sur les données et les risques : Cyera génère du contexte sur vos données, comme la localisation et le rôle du sujet des données, ainsi que les catégories de données qui ont été compromises. Par exemple, Cyera classe les informations de carte de crédit, les numéros de sécurité sociale et d'autres informations qui peuvent être considérées comme à haut risque, ce qui augmente l'urgence de signaler l'incident matériel.

Prévention et réponse efficaces : Cyera aide à identifier toute mauvaise configuration susceptible de provoquer un incident majeur, minimisant ainsi le risque de violation et empêchant l'accès aux données sensibles par des personnes non autorisées. Cyera identifie également les vulnérabilités et met en œuvre des actions correctives en temps opportun pour combler les failles de sécurité. Cela devient crucial pour réduire l'ampleur d'un incident.

Pour en savoir plus sur la façon d'améliorer l'audit de vos données et de vous préparer contre les incidents majeurs conformément aux règles de la SEC, planifiez une démo dès aujourd'hui.