La SEC veut de meilleures informations sur les piratages des entreprises
La Securities and Exchange Commission (SEC) des États-Unis a proposé de nouvelles règles de gestion des risques de cybersécurité pour les entreprises qui les obligeraient à être plus transparentes avec les divulgations aux clients.
Les nouvelles règles seraient mises en œuvre sous forme de modifications de divers formulaires concernant les divulgations de cybersécurité et cibleraient spécifiquement les conseillers en investissement, les fonds d’investissement et les sociétés de développement commercial.
Plus besoin de cacher les hacks de cybersécurité
L’introduction d’une réglementation plus stricte concernant les divulgations de cybersécurité n’est pas un nouvel effort de la SEC. En 2018, l’ancien commissaire de la SEC, Robert J. Jackson Jr., a déclaré que les exigences de divulgation actuelles « pêchaient du côté de la non-divulgation » et laissaient souvent les investisseurs dans l’ignorance lorsque les entreprises subissaient des piratages ou d’autres attaques de cybersécurité.
Actuellement, la direction de l’entreprise est uniquement tenue de tenir les conseils d’administration informés des problèmes de cybersécurité, sans obligation de les partager avec des investisseurs ou d’autres clients. Cependant, un rapport conjoint de 2021 a montré qu’en 2020, seulement 17 % des entreprises du Fortune 100 interrogées ont signalé des problèmes de cybersécurité aux membres du conseil d’administration chaque année ou chaque trimestre.
La SEC semble désireuse de changer cela car elle a passé la majeure partie de 2022 à présenter diverses propositions qui, si elles étaient adoptées, obligeraient les entreprises publiques à signaler les cyberattaques et les incidents.
C’est le cas de la proposition Cybersecurity Risk Management for Investment Advisers, Registered Investment Companies, and Business Development Companies, publiée le 9 février.
Dans le document, la SEC propose d’introduire de nouvelles règles en vertu de la loi sur les conseillers en investissement de 1940 et de la loi sur les sociétés d’investissement de 1940 pour obliger les fonds et les conseillers à mettre en œuvre de nouvelles politiques de cybersécurité. Selon le document, ces politiques et procédures sont spécifiquement conçues pour faire face aux risques de cybersécurité en obligeant les entreprises à signaler à la SEC les incidents de cybersécurité importants affectant le conseiller, son fonds ou ses clients de fonds privés.
« Nous pensons qu’exiger des conseillers et des fonds qu’ils signalent la survenance d’incidents de cybersécurité importants renforcerait l’efficience et l’efficacité de nos efforts pour protéger les investisseurs, les autres acteurs du marché et les marchés financiers en cas d’incidents de cybersécurité », a déclaré la SEC dans la proposition.
Jamil Farshchi, responsable de la sécurité de l’information chez Equifax, a déclaré à Bloomberg News que les règles proposées apporteraient une transparence indispensable aux dirigeants d’entreprise et exigeraient une responsabilité sans précédent en matière de cybersécurité.
Plus de règles égalent une SEC plus forte
Beaucoup pensent que la récente poussée de la SEC à jouer un rôle plus actif dans le renforcement des règles concernant la cybersécurité est le résultat direct du piratage de SolarWinds. Cet événement tristement célèbre est largement considéré comme l’un des pires incidents de cyberespionnage subis par les États-Unis, car le pays a vu de nombreuses parties de son gouvernement fédéral ciblées par un groupe de pirates informatiques soutenus par la Russie.
Les attaquants ont infecté les mises à jour d’un sous-traitant fédéral américain, l’utilisant comme tremplin pour s’immiscer dans diverses agences et entreprises gouvernementales. À la suite du piratage, la SEC a envoyé des lettres aux entreprises qui, selon elle, étaient menacées par les piratages, leur demandant de signaler elles-mêmes si elles avaient été piratées et les dommages causés par les piratages.
Comme la Commission a reçu un nombre décevant de divulgations, elle a lancé le programme d’amnistie, offrant le pardon aux entreprises qui se sont finalement conformées à la demande d’auto-déclaration, même si elles n’avaient pas auparavant divulgué l’incident aux investisseurs.
À l’époque, la National Association of Corporate Directors, la Cyber Threat Alliance et SecurityScorecard ont tous qualifié le programme de « remarquable », car il signalait l’évolution de la vision de la SEC sur le cyber-risque. Sachin Bansal, directeur commercial et juridique de SecurityScorecard, l’a qualifié de moment « décisif » pour la SEC.
Mais, malgré cela, la nouvelle proposition de la SEC laisse beaucoup de pierres non retournées.
Les nouvelles règles obligeront les entreprises à divulguer les cyber-incidents « importants » ou « significatifs » s’ils sont mis en œuvre. La SEC considère les informations « matérielles » comme toute information présentant une « probabilité substantielle qu’un actionnaire raisonnable la considère comme importante ».
Beaucoup trouvent les définitions de la SEC trop vagues pour apporter une transparence significative au marché. L’imprécision signifie également que les règles seraient sujettes à des interprétations par la SEC au cas par cas, laissant aux entreprises la possibilité de faire appel aux décisions et de créer des précédents qui pourraient rendre la proposition essentiellement sans valeur.
Cependant, il y a encore place à l’amélioration. La SEC n’est pas prête à voter sur la proposition avant quelques semaines, laissant beaucoup de place aux participants de l’industrie pour partager leurs préoccupations et leurs suggestions avec la Commission.
On ne sait pas comment cela affecte l’industrie de la cryptographie – avec de plus en plus de fonds d’investissement comprenant divers actifs numériques et dérivés cryptographiques dans leurs portefeuilles. Cependant, les règles proposées pourraient entraîner de nombreuses divulgations provenant de l’espace crypto.
Le poste La SEC veut de meilleures divulgations d’entreprise sur les hacks est apparu en premier sur CryptoSlate.