Cybersécurité : la SEC contraint les entreprises publiques à divulguer les incidents dans les 4 jours

Le gendarme américain de la bourse voudrait protéger les investisseurs

La Securities and Exchange Commission (SEC), le régulateur boursier américain, a adopté mercredi des règles obligeant les entreprises publiques à divulguer dans un délai de quatre jours toutes les violations de cybersécurité susceptibles d’affecter leurs résultats financiers. Des délais seront autorisés si une divulgation immédiate présente de graves risques pour la sécurité nationale ou la sécurité publique.

Les nouvelles règles, adoptées par un vote de 3 contre 2, exigent également que les sociétés cotées en bourse divulguent chaque année des informations sur leur gestion des risques liés à la cybersécurité et sur l’expertise de leurs dirigeants dans ce domaine. L’objectif est de protéger les investisseurs.

Les divulgations de violations peuvent être retardées si le procureur général des États-Unis détermine qu’elles « poseraient un risque substantiel pour la sécurité nationale ou la sécurité publique » et en informe par écrit la SEC. Seules des circonstances extraordinaires pourraient permettre de prolonger ce délai au-delà de 60 jours.

« Qu’une entreprise perde une usine dans un incendie ou des millions de fichiers dans un incident de cybersécurité, cela peut être important pour les investisseurs », a déclaré le président de la SEC, Gary Gensler, dans un communiqué, soulignant l’incohérence actuelle des divulgations. Les règles apporteront « plus de transparence dans un risque autrement opaque mais croissant » et pourraient inciter à améliorer les défenses de cybersécurité - tout en posant potentiellement un plus grand défi aux petites entreprises disposant de ressources limitées, a reconnu Lesley Ritter, vice-présidente senior chez Moody’s Investors Service, dans un communiqué.

Les règles ont été proposées pour la première fois en mars 2022, lorsque la SEC a estimé que les violations des réseaux d’entreprise constituaient un risque croissant à mesure que leur numérisation des opérations et le travail à distance augmentaient - et que le coût pour les investisseurs des incidents liés à la cybersécurité augmentait.

Alors que certains opérateurs d’infrastructures critiques et tous les prestataires de soins de santé doivent par la loi signaler les violations, aucune loi fédérale sur la divulgation des violations n’existe. Dans un nouveau rapport publié par IBM, les chercheurs ont constaté que les organisations paient désormais en moyenne 4,5 millions de dollars pour faire face aux violations - une augmentation de 15 % au cours des trois dernières années. Les chercheurs du Ponemon Institute ont également constaté que les entreprises touchées reportent généralement les coûts sur les consommateurs, qui peuvent eux-mêmes être victimes avec des informations personnelles volées lors d’une violation.

Une multiplication des cyberattaques

Les règles de la SEC interviennent dans un contexte de multiplication des cyberattaques visant des entreprises publiques, notamment dans les secteurs de l’énergie, de la santé, de la finance et des transports. Voici quelques exemples de violations de cybersécurité qui ont touché des sociétés cotées en bourse :
[LIST][*]Equifax: en 2017, une vulnérabilité d’une application web a permis à des pirates de voler les données personnelles de 145 millions d’Américains, dont des numéros de sécurité sociale, des dates de naissance et des adresses. La société de notation de crédit a mis plus d’un mois à révéler l’incident, ce qui lui a valu des critiques et des poursuites judiciaires. Elle a accepté de payer 700 millions de dollars pour régler les plaintes des consommateurs et des autorités. Pendant les investigations, il a été découvert que l'entreprise s'est servi de son propre logiciel pour identifier les employés en télétravail qui avaient un autre emploi à temps plein tout en étant employés par Equifax et les a licencié : « Nous nous attendons à ce que notre équipe soit entièrement dédiée à EFX et n'ait qu'un rôle… leur travail chez EFX », a écrit Begor dans le courriel, où EFX...