Malgré une série d’actions récentes illustrant la manière dont la Securities and Exchange Commission des États-Unis fait respecter la divulgation et la conformité, les entreprises ne savent toujours pas comment et quoi déclarer.
Selon les experts, la confusion quant au moment et à la manière de signaler les violations de cybersécurité continue de tourmenter les entreprises un an après l’entrée en vigueur des règles révisées de la Securities and Exchange Commission (SEC) des États-Unis en matière de signalement des violations de cybersécurité.
Alors que l’agence qui réglemente et applique les lois fédérales américaines sur les valeurs mobilières continue de déployer ses forces contre les organisations qui violent les règles strictes, qui imposent des délais de déclaration serrés pour la divulgation des incidents de cybersécurité, les RSSI et autres cadres supérieurs subissent une pression croissante pour évaluer rapidement et signaler les violations jugées importantes – une décision difficile compte tenu de leur complexité.
Les entreprises ont des problèmes avec la SEC lorsque les informations ne sont pas fournies ou ne sont pas suffisamment opportunes, selon Joe Shusko, associé du cabinet comptable mondial Baker Tilly dans le domaine de la cybersécurité. Ils doivent donc développer de nouvelles stratégies pour maintenir le respect de règles dont l’interprétation et l’application ne sont pas toujours claires et varient selon les situations particulières.
L’application de la SEC ne ralentit pas
La SEC a pris plus de 200 mesures coercitives depuis qu’elle a obtenu le pouvoir de le faire en 2015, dont un quart concernait des incidents de cybersécurité. Une liste croissante d’accusations a été déposée contre des sociétés qui, selon elles, ont induit les investisseurs en erreur sur des incidents qu’elles considèrent comme importants pour les parties prenantes.
En décembre 2024, il a déposé des accusations réglées contre « pour avoir fait des déclarations matériellement trompeuses concernant une attaque de cybersécurité contre le réseau de Flagstar fin 2021 », également connue sous le nom de Citrix Bleed, pour 3,55 millions de dollars. La SEC a constaté que même si la société avait signalé la violation, elle avait omis de divulguer que les données sensibles des clients d’environ 1,5 million de personnes avaient été exposées.
Quelques mois plus tôt, la SEC avait infligé une amende de 7 millions de dollars à quatre entreprises pour « cyberdivulgations trompeuses » liées au piratage de SolarWinds. Le quatuor – Avaya, Check Point, Mimecast et Unisys – a été accusé de divulgations trompeuses sur l’impact de la violation logicielle de 2020 sur leurs activités individuelles, laissant les investisseurs et autres parties prenantes dans le noir.
Les quatre entreprises technologiques ont chacune accepté de régler le différend concernant leurs divulgations en payant une amende, mais sans admettre d’actes répréhensibles. Unisys, qui a également été accusé de violations des contrôles de sécurité, a accepté de payer une amende de 4 millions de dollars tandis que les autres fournisseurs ont chacun déboursé environ 1 million de dollars.
Les RSSI sont toujours aux prises avec des craintes liées au manque de clarté
Sur la base de son historique, la SEC pourrait à l’avenir publier des orientations plus claires et plus détaillées sur les règles de divulgation, a déclaré Shusko. Cependant, il est peu probable qu’il tienne compte des organisations qui ne respectent pas les règles, même en attendant des éclaircissements futurs.
Les entreprises devraient privilégier la transparence
Dans l’état actuel des choses, les RSSI et leurs collègues doivent tracer une voie délicate pour répondre aux exigences de reporting en cas d’incident ou de violation de cybersécurité, explique Shusko. Cela signifie anticiper la nécessité de répondre aux exigences de reporting en intégrant la préparation à la conformité à tout plan de réponse aux incidents, explique Shusko.
Si elles doivent divulguer un cyberincident, les entreprises doivent s’efforcer d’être conformes et ouvertes, tout en évitant de divulguer des informations qui pourraient par inadvertance indiquer des failles de sécurité non résolues que de futurs attaquants pourraient exploiter.
« Les organisations devraient privilégier la transparence », déclare Shusko.
Edwards a poursuivi : « Mettez les processus en place, notamment en sachant où trouver le formulaire à soumettre à la SEC et peut-être même en le pré-remplissant avec autant d’informations que possible. Ainsi, lorsque l’impensable se produit, il y a moins de chances de paniquer et de commettre des erreurs. »
Les récentes amendes ont également jeté les bases permettant à la SEC d’adopter des mesures coercitives contre d’autres organisations non conformes – bien que les règles de divulgation de la SEC ciblent principalement les sociétés cotées en bourse, un éventail beaucoup plus large d’organisations pourraient en ressentir les effets.
Étant donné que la clarté autour de la divulgation n’est pas toujours simple, il n’y a pas de véritable substitut à la préparation, et cela rend essentiel de pratiquer des situations qui nécessiteraient une divulgation via des simulations et d’autres exercices, selon Simon Edwards, directeur général de la société de tests de sécurité SE Labs. . « En tant que personne fortement investie dans la sécurité de mon entreprise, je dirais que la chose la plus évidente et la plus précieuse qu’un RSSI puisse faire est de jouer un rôle lors d’un incident. »
Les chaînes d’approvisionnement des entreprises peuvent également avoir un impact sur le signalement des violations
« Les règles de divulgation visent les organisations cotées en bourse, mais cela ne signifie pas nécessairement que les organisations non cotées en bourse sont exclues », explique Shusko. « Les entreprises publiques s’attendront probablement à ce que leurs partenaires commerciaux divulguent et communiquent toute cyberattaque susceptible d’avoir un impact sur leur organisation et, par conséquent, sur leurs clients. Les organisations doivent comprendre leurs chaînes d’approvisionnement.
Les conseils de Baker Tilly sur la manière dont les entreprises peuvent atténuer leurs principaux risques de non-conformité informatique et respecter les règles de cyber-divulgation de la SEC sont disponibles ici.
Les règles de divulgation sujettes à interprétation signifient que certaines entreprises se sentiront obligées de divulguer les incidents de sécurité moins graves. Par exemple, dit Shusko, même si une récente cyberattaque contre American Water n’a eu aucun impact matériel sur le service public, l’entreprise a quand même divulgué l’attaque afin de tenir ses parties prenantes informées.
« Il y a un manque de clarté quant à savoir par où commencer les mesures coercitives », dit Sullivan.
Les professionnels de la sécurité senior et leurs collègues sont confrontés à un défi particulier lorsqu’il s’agit de déterminer si un incident de sécurité est important, et donc quelque chose qu’ils sont obligés de divulguer, ou quelque chose de moins grave qui peut être traité en interne.
« (Il y a) une confusion quant à ce qui atteint le seuil de « matériel » – les entreprises sont partout dans leurs informations, et les directives de la SEC ont été pour le moins déroutantes », a déclaré Sullivan.