- La Securities and Exchange Commission (SEC) des États-Unis a introduit de nouvelles réglementations obligeant les sociétés cotées en bourse à divulguer les cyberattaques dans les quatre jours ouvrables suivant la détermination qu’il s’agit d’incidents importants.
- Considérés comme significatifs par les actionnaires lors de la prise de décisions d’investissement, les événements significatifs sont réputés significatifs.
- Suite à des cyberattaques, les émetteurs privés étrangers sont également tenus de fournir des informations équivalentes.
- Les divulgations doivent contenir des informations concernant la cyberattaque, y compris sa nature, sa portée et sa chronologie, et doivent être incluses dans les dépôts de rapports périodiques (en particulier sur les formulaires 8-K).
- Les nouvelles règles entreront en vigueur en décembre, mais les petites entreprises disposeront de 180 jours supplémentaires avant que les divulgations du formulaire 8-K ne soient requises. Si la divulgation immédiate pose des risques importants pour la sécurité nationale ou la sécurité publique, le délai de divulgation peut être prolongé sous certaines conditions.
Les Etats Unis Commission de Sécurité et d’Echanges a adopté de nouvelles réglementations exigeant que les sociétés cotées en bourse divulguent les cyberattaques dans les quatre jours ouvrables suivant la détermination qu’il s’agit d’incidents matériels.
Selon le chien de garde de Wall Street, les événements matériels sont ceux que les actionnaires d’une entreprise publique considéreraient comme significatifs »dans la prise de décision d’investissement.”
En outre, la SEC a adopté de nouvelles réglementations obligeant les émetteurs privés étrangers à fournir des informations équivalentes à la suite de cyberattaques.
Informations clés requises dans les divulgations de cyber-violations, précise la SEC
« Qu’une entreprise perde une installation dans un incendie ou des millions de fichiers dans une cyberattaque, cela peut avoir un impact significatif sur les investisseurs. Président de la SEC Gary Gensler a déclaré qu’une majorité d’entreprises publiques fournissent aux investisseurs des informations sur la cybersécurité.
« Je crois que les entreprises et les investisseurs bénéficieraient d’une divulgation plus cohérente, comparable et utile à la prise de décision de ces informations. En veillant à ce que les entreprises divulguent des informations importantes sur la cybersécurité, les règles d’aujourd’hui profiteront aux investisseurs, aux entreprises et aux marchés interconnectés.
Les sociétés cotées sont désormais tenues d’inclure des détails sur la cyberattaque (y compris la nature, la portée et la chronologie de l’incident) dans les rapports périodiques, en particulier sur les formulaires 8-K.
Les nouvelles règles de signalement des incidents de cybersécurité devraient entrer en vigueur en décembre, soit 30 jours après leur publication au Federal Register.
Cependant, les petites entreprises se verront accorder 180 jours supplémentaires avant que les divulgations du formulaire 8-K ne soient requises. Si le procureur général des États-Unis détermine que la divulgation immédiate poserait un risque important pour la sécurité nationale ou la sécurité publique, le délai de divulgation peut être prolongé dans certaines circonstances.
Divulgations faites en temps opportun pour améliorer la transparence
La SEC a annoncé son intention d’adopter ces nouvelles règles en mars 2022 il y a plus d’un an, en mars 2021. Les nouvelles règles (PDF) fournir aux investisseurs des notifications rapides des incidents de sécurité affectant les sociétés cotées, améliorant ainsi leur compréhension de la gestion et de la stratégie des risques de cybersécurité.
Ils exigent la divulgation des informations suivantes liées à la violation (si elles sont disponibles au moment du dépôt du formulaire 8-K) :
- La date de découverte de l’incident et son état actuel (en cours ou résolu).
- Une description concise de la nature et de l’étendue de l’incident.
- Toute information qui a été compromise, modifiée, consultée ou utilisée sans autorisation.
- Les effets de l’incident sur les opérations de l’entreprise.
- Informations concernant les initiatives de remédiation en cours ou terminées de l’entreprise.
Cependant, les entreprises concernées ne sont pas tenues de divulguer les détails techniques de leurs plans de réponse aux incidents ou des informations sur les vulnérabilités potentielles qui pourraient avoir un impact sur leurs actions de réponse et de remédiation. Selon Lesley Ritter, vice-président principal de Moody’s Investors Service, les nouvelles règles augmenteront la transparence, mais elles seront probablement difficiles pour les petites entreprises.
“Les règles de divulgation de la cybersécurité adoptées plus tôt dans la journée par la Securities and Exchange Commission des États-Unis offriront plus de transparence sur un risque autrement opaque mais croissant, ainsi qu’une plus grande cohérence et prévisibilité”, a déclaré Ritter à BleepingComputer.
“Une divulgation accrue devrait aider les entreprises à comparer leurs pratiques et peut stimuler l’amélioration de la cyberdéfense, mais les petites entreprises disposant de moins de ressources peuvent avoir plus de difficultés à respecter les nouvelles normes de divulgation.”
Crédit d’image en vedette: Unsplash.
Source: La SEC rend obligatoire la divulgation rapide des cyberattaques pour les sociétés cotées en bourse
