À partir d’aujourd’huiLe 18 décembre, les entreprises publiques opérant aux États-Unis doivent se conformer à un nouvel ensemble de règles les obligeant à divulguer les cyberincidents « importants » dans un délai de 96 heures. La réglementation représente un bouleversement important pour les organisations, dont beaucoup ont fait valoir que les nouvelles règles les exposent à davantage de risques et que quatre jours ne suffisent pas pour confirmer une violation, comprendre son impact ou coordonner les notifications.
Quoi qu’il en soit, ceux qui ne s’y conforment pas – qu’il s’agisse d’une organisation nouvellement cotée ou d’une société publique depuis des décennies – pourraient faire face à des conséquences majeures de la part de la Securities and Exchange Commission (SEC) des États-Unis.
Que doivent savoir les entreprises ?
En vertu des exigences de divulgation entrantes en matière de cybersécurité, approuvées pour la première fois par la SEC en juillet, les organisations doivent signaler les incidents de cybersécurité, tels que les violations de données, à la SEC dans une ligne spécifique d’un rapport du formulaire 8-K dans un délai de quatre jours ouvrables. Selon le régulateur, les règles visent à accroître la visibilité sur la gouvernance de la cybersécurité et à fournir des informations d’une manière plus « cohérente, comparable et utile à la décision », ce qui profitera aussi bien aux investisseurs qu’aux entreprises.
« Qu’une entreprise perde une usine dans un incendie – ou des millions de fichiers dans un incident de cybersécurité – cela peut être important pour les investisseurs », a déclaré à l’époque le président de la SEC, Gary Gensler.
Dans un dossier 8-K, les organisations victimes d’une violation doivent décrire la nature, la portée, le calendrier et l’impact matériel de l’incident, y compris financier et opérationnel. Notamment, le règlement n’oblige pas les entreprises à divulguer des informations « concernant l’état de remédiation de l’incident, s’il est en cours et si les données ont été compromises », car cela pourrait compromettre les efforts de récupération en cours.
« Cela signifie que les entreprises doivent disposer des contrôles et des procédures appropriés pour garantir qu’une détermination de l’importance relative puisse être effectuée une fois qu’un incident de cybersécurité est détecté », Jane Norberg, associée au sein du département Securities Enforcement Defense du cabinet d’avocats basé à Washington, DC. Arnold et Porter. « En pratique, les entreprises voudront également envisager d’avoir l’équipe de réponse aux incidents dans la chaîne procédurale lors de la détermination de l’importance relative. »
Norberg a ajouté : « La règle inclut également les violations des informations du titulaire qui peuvent résider sur un système tiers. Cela signifie qu’une entreprise devra rassembler et évaluer des informations et déterminer leur matérialité sur la base de violations de systèmes tiers.
« Je semble être la personne qui critique moins la SEC que tout le monde parce que je pense que nous devrions la féliciter d’avoir essayé d’établir des règles. » Joe Sullivan, ancien CSO d’Uber
Les petites entreprises, que la SEC définit comme des entreprises dont le flottant public est inférieur à 250 millions de dollars ou dont le chiffre d’affaires annuel est inférieur à 100 millions de dollars, bénéficieront d’une prolongation de 180 jours avant de devoir déposer leur formulaire 8-K divulguant un incident.
Il existe également une exception au délai de quatre jours pour les grandes organisations, une clause ajoutée après que les entreprises ont fait valoir que rendre public prématurément une vulnérabilité ou un incident de cybersécurité pourrait entraver les enquêtes en cours des forces de l’ordre. La SEC affirme que la divulgation peut être retardée si le procureur général américain détermine qu’alerter les actionnaires de l’incident « poserait un risque substantiel pour la sécurité nationale ou la sécurité publique ».
Le FBI sera chargé de collecter les formulaires de demande de retard et de transmettre les formulaires viables au ministère de la Justice.
En plus des nouvelles règles de divulgation des violations de données de la SEC, le régulateur a également ajouté un nouvel élément appelé article 106 au règlement SK qui sera inclus dans le dépôt annuel du formulaire 10-K d’une entreprise. Cela obligera les entreprises à décrire leur processus « d’évaluation, d’identification et de gestion des risques importants liés aux menaces de cybersécurité ». Les entreprises doivent également divulguer la capacité de leur direction à évaluer et à gérer les risques importants liés aux cyberattaques.
Quelles sont les conséquences si les entreprises ne s’y conforment pas ?
Si une organisation soumise à la juridiction de la SEC ne respecte pas les nouvelles règles en matière de divulgation en matière de cybersécurité, cela peut entraîner diverses conséquences, selon la SEC.
« La SEC a le pouvoir de faire respecter la conformité et peut agir contre les organisations qui ne respectent pas la réglementation. Certaines conséquences potentielles incluent des sanctions financières, des responsabilités juridiques, des atteintes à la réputation, une perte de confiance des investisseurs et un contrôle réglementaire », a déclaré Safi Raza, directeur principal de la cybersécurité chez Fusion Risk Management, à TechCrunch. « La SEC est inébranlable dans son engagement à protéger les investisseurs, indiquant clairement que des mesures d’application seront mises en œuvre pour garantir la transparence et la responsabilité. »
Comme le démontre la récente mesure prise par la SEC contre SolarWinds et son responsable de la sécurité de l’information (CISO), l’action du régulateur pourrait être encore plus vaste.
« Dans ce cas, la SEC demande des sanctions pécuniaires civiles, la restitution et interdit définitivement au RSSI d’agir en tant que dirigeant ou administrateur d’une société publique sur la base d’anomalies significatives présumées et du défaut de maintenir des contrôles de divulgation et de comptabilité appropriés en relation avec SolarWinds. cyberattaque », a déclaré Norberg.
Cette affaire controversée partage des similitudes avec l’affaire contre l’ancien CSO d’Uber Joe Sullivan, qui en 2022 a été reconnu coupable d’entrave à une procédure officielle et d’erreur de jugement pour un crime – une infraction de défaut de déclaration d’un acte répréhensible – lié à une violation des règles d’Uber. systèmes en 2014.
Dans une récente interview avec TechCrunch, Sullivan a déclaré qu’il saluait les règles de déclaration des violations de données de la SEC, déclarant : « Nous pouvons pinailler les détails autant que nous le souhaitons, mais c’est la bonne façon de le faire », a-t-il déclaré. « Je semble être la personne qui critique moins la SEC que tout le monde parce que je pense que nous devrions la féliciter d’avoir essayé d’établir des règles. »
Y a-t-il eu des refoulements ?
Sans surprise, oui.
Certaines entreprises ont exprimé leurs inquiétudes concernant le court délai de déclaration de quatre jours pour déterminer si un incident est important ou non, puis le signaler à la SEC. Jusqu’à présent, de nombreuses organisations prenaient des mois pour signaler une violation et ne le faisaient qu’après avoir terminé leur enquête.
« Le véritable défi pour les entreprises est de rester informées et au courant de toutes les lois et exigences changeantes liées à l’hygiène et aux violations de cybersécurité, et de mettre en place les contrôles, processus et procédures appropriés pour réduire les risques dans ce paysage en constante évolution. » dit Norberg.
Certaines organisations ont également souligné leurs préoccupations concernant la définition des « incidents importants » donnée par la SEC, étant donné que le régulateur n’a pas fourni de définition de matérialité spécifique aux événements de cybersécurité. Au lieu de cela, la SEC ordonne aux sociétés d’appliquer la définition de longue date de l’importance relative utilisée dans le droit des valeurs mobilières, qui se lit comme suit : « Une information est importante s’il existe une forte probabilité qu’un actionnaire raisonnable la considère comme importante pour prendre une décision d’investissement ou si cela aurait considérablement modifié la composition globale des informations mises à la disposition des investisseurs.
Norberg a ajouté que les entreprises craignent également que le moment et l’étendue des informations qui doivent être divulguées « puissent donner des informations aux pirates informatiques sur les mesures prises par l’entreprise ».
En fait, elles viennent peut-être tout juste d’entrer en vigueur, mais les pirates informatiques ont déjà abusé des nouvelles règles de la SEC en matière de violation de données. Plus tôt cette année, le célèbre groupe de ransomware Alphv/BlackCat a déposé une plainte auprès de la SEC contre l’une de ses victimes, MeridianLink, pour avoir omis de signaler l’incident au régulateur.
« Il a été porté à notre attention que MeridianLink, à la lumière d’une violation importante compromettant les données clients et les informations opérationnelles, n’a pas réussi à déposer la divulgation requise au titre de l’article 1.05 du formulaire 8-K dans les quatre jours ouvrables stipulés, comme l’exige le nouveau Règles de la SEC », lit-on dans un article publié sur le site de fuite du dark web du gang.
Matthew Gracey-McMinn, responsable de la recherche sur les menaces chez la société de cybersécurité Netacea, a déclaré à TechCrunch que cette tactique – adoptée par les attaquants dans le but d’extorquer de l’argent supplémentaire aux victimes – pourrait devenir un gros problème à l’avenir.
« Nous prévoyons que cela deviendra une pratique courante dans la plupart des cyberattaques en 2024 et pourrait constituer une charge supplémentaire parallèlement, voire remplacer le cryptage des données par les ransomwares », a déclaré Gracey-McMinn.