La Securities and Exchange Commission (SEC), le régulateur boursier américain, a adopté mercredi des règles obligeant les entreprises publiques à divulguer dans un délai de quatre jours toutes les violations de cybersécurité susceptibles d’affecter leurs résultats financiers. Des délais seront autorisés si une divulgation immédiate présente de graves risques pour la sécurité nationale ou la sécurité publique.Les nouvelles règles, adoptées par un vote de 3 contre 2, exigent également que les sociétés cotées en bourse divulguent chaque année des informations sur leur gestion des risques liés à la cybersécurité et sur l’expertise de leurs dirigeants dans ce domaine. L’objectif est de protéger les investisseurs.
Les divulgations de violations peuvent être retardées si le procureur général des États-Unis détermine qu’elles « poseraient un risque substantiel pour la sécurité nationale ou la sécurité publique » et en informe par écrit la SEC. Seules des circonstances extraordinaires pourraient permettre de prolonger ce délai au-delà de 60 jours.
« Qu’une entreprise perde une usine dans un incendie ou des millions de fichiers dans un incident de cybersécurité, cela peut être important pour les investisseurs », a déclaré le président de la SEC, Gary Gensler, dans un communiqué, soulignant l’incohérence actuelle des divulgations. Les règles apporteront « plus de transparence dans un risque autrement opaque mais croissant » et pourraient inciter à améliorer les défenses de cybersécurité - tout en posant potentiellement un plus grand défi aux petites entreprises disposant de ressources limitées, a reconnu Lesley Ritter, vice-présidente senior chez Moody’s Investors Service, dans un communiqué.
Les règles ont été proposées pour la première fois en mars 2022, lorsque la SEC a estimé que les violations des réseaux d’entreprise constituaient un risque croissant à mesure que leur numérisation des opérations et le travail à distance augmentaient - et que le coût pour les investisseurs des incidents liés à la cybersécurité augmentait.
Alors que certains opérateurs d’infrastructures critiques et tous les prestataires de soins de santé doivent par la loi signaler les violations, aucune loi fédérale sur la divulgation des violations n’existe. Dans un nouveau rapport publié par IBM, les chercheurs ont constaté que les organisations paient désormais en moyenne 4,5 millions de dollars pour faire face aux violations - une augmentation de 15 % au cours des trois dernières années. Les chercheurs du Ponemon Institute ont également constaté que les entreprises touchées reportent généralement les coûts sur les consommateurs, qui peuvent eux-mêmes être victimes avec des informations personnelles volées lors d’une violation.
Une multiplication des cyberattaques
Les règles de la SEC interviennent dans un contexte de multiplication des cyberattaques visant des entreprises publiques, notamment dans les secteurs de l’énergie, de la santé, de la finance et des transports. Voici quelques exemples de violations de cybersécurité qui ont touché des sociétés cotées en bourse :
- Equifax: en 2017, une vulnérabilité d’une application web a permis à des pirates de voler les données personnelles de 145 millions d’Américains, dont des numéros de sécurité sociale, des dates de naissance et des adresses. La société de notation de crédit a mis plus d’un mois à révéler l’incident, ce qui lui a valu des critiques et des poursuites judiciaires. Elle a accepté de payer 700 millions de dollars pour régler les plaintes des consommateurs et des autorités. Pendant les investigations, il a été découvert que l'entreprise s'est servi de son propre logiciel pour identifier les employés en télétravail qui avaient un autre emploi à temps plein tout en étant employés par Equifax et les a licencié : « Nous nous attendons à ce que notre équipe soit entièrement dédiée à EFX et n'ait qu'un rôle… leur travail chez EFX », a écrit Begor dans le courriel, où EFX fait référence à Equifax. « Je suis sûr que vous êtes aussi déçu que moi ».
- Yahoo: 3 milliards de comptes d’utilisateurs ont été compromis en 2013 après qu’une tentative de phishing ait donné aux pirates l’accès au réseau. La société n’a révélé l’ampleur de la violation qu’en 2016, alors qu’elle était en cours de rachat par Verizon. Elle a dû réduire le prix de vente de 350 millions de dollars et payer 85 millions de dollars pour régler une action collective.
- eBay: le site d’enchères en ligne a subi une importante violation en 2014, qui a exposé les noms, les adresses, les mots de passe et les numéros de téléphone de 145 millions d’utilisateurs. La société a demandé à ses clients de changer leurs mots de passe, mais n’a pas fourni beaucoup de détails sur l’origine ou l’impact de l’attaque. Elle a été sanctionnée par plusieurs autorités européennes pour avoir manqué à ses obligations en matière de protection des données.
- Ashley Madison: le site de rencontres pour personnes mariées souhaitant avoir des aventures a été piraté en 2015. Les pirates ont divulgué les noms, les adresses électroniques, les préférences sexuelles et les informations de carte de crédit de plus de 30 millions d’utilisateurs. La société mère du site, Avid Life Media, a été poursuivie par plusieurs clients et a accepté de payer 11,2 millions de dollars pour régler les litiges.
Ces exemples montrent que les violations de cybersécurité peuvent avoir des conséquences néfastes pour la réputation, la confiance et la performance financière des entreprises publiques. Les nouvelles règles de la SEC visent à renforcer la responsabilité et la transparence des sociétés cotées en bourse face à ce risque croissant. Elles pourraient également encourager les entreprises à investir davantage dans la prévention et la détection des cyberattaques, ainsi qu’à coopérer avec les autorités compétentes en cas d’incident.
Comment se protéger contre les cyberattaques ?
Face à ces menaces, les entreprises publiques doivent adopter des mesures de protection adaptées à leur niveau de risque et à leur secteur d’activité. Voici quelques bonnes pratiques de cybersécurité à suivre en 2023 :
- Former les employés à la cybersécurité : les employés sont souvent le maillon faible de la chaîne de sécurité, car ils peuvent être victimes de phishing, de social engineering ou d’erreurs humaines. Il est donc essentiel de les sensibiliser aux risques et de leur apprendre les gestes simples pour se protéger, comme choisir des mots de passe forts, ne pas cliquer sur des liens ou des pièces jointes suspects, ou encore utiliser un VPN pour se connecter à distance.
- Mettre à jour les logiciels et les systèmes : les cybercriminels exploitent souvent les failles de sécurité des logiciels et des systèmes obsolètes pour s’introduire dans les réseaux. Il est donc important de maintenir à jour les versions des logiciels et des systèmes utilisés, en appliquant les correctifs et les mises à jour disponibles. Il est également recommandé d’utiliser des logiciels antivirus et antimalware pour détecter et bloquer les éventuelles intrusions.
- Sécuriser les données sensibles : les données sensibles, comme les informations personnelles, financières ou stratégiques, sont particulièrement convoitées par les cybercriminels. Il est donc nécessaire de les protéger par des mesures appropriées, comme le chiffrement, la sauvegarde, la limitation des accès ou la destruction sécurisée. Il est également conseillé de respecter les normes et les réglementations en vigueur en matière de protection des données, comme le RGPD en Europe ou le NIST aux États-Unis.
- Renforcer la résilience : malgré toutes les précautions prises, il est impossible d’éliminer totalement le risque de cyberattaque. Il est donc primordial de se préparer à faire face à une éventuelle crise, en élaborant un plan de continuité d’activité, en testant régulièrement la capacité de réaction et de récupération, et en communiquant efficacement avec les parties prenantes internes et externes. Il est également utile de tirer les leçons des incidents passés et d’améliorer en permanence la stratégie de cybersécurité.
La cybersécurité est un enjeu majeur pour les entreprises publiques en 2023. Les nouvelles règles de la SEC visent à renforcer la transparence et la responsabilité des sociétés cotées en bourse face à ce risque. Mais au-delà du respect des obligations légales, il est dans l’intérêt des entreprises publiques d’adopter une démarche proactive et volontaire pour se protéger contre les cyberattaques et assurer leur pérennité.
Source : SEC
Et vous ?
Que pensez-vous des nouvelles règles de la SEC sur la divulgation des violations de cybersécurité ? Une mesure qui devrait inspirer d'autres pays ? Pourquoi ? Avez-vous déjà été victime ou témoin d’une cyberattaque ? Si oui, comment avez-vous réagi ? Quelles sont les mesures que vous prenez pour protéger vos données personnelles et professionnelles sur internet ? Quels sont les secteurs d’activité les plus exposés aux cyberattaques selon vous ? Quels sont les avantages et les inconvénients de la numérisation des opérations pour les entreprises publiques ?Voir aussi :
Equifax pourrait s'en tirer avec une amende de 700 M$, après la violation de données de 2017, et payer seulement 4 $ à chaque victime Yahoo confirme le piratage de plus d'un demi-milliard de comptes, la société attribue l'attaque à un groupe parrainé par un État 
