L’analyse des documents déposés auprès de la SEC 10-K révèle que si les RSSI gèrent la cybersécurité sous la direction du CIO, les entreprises s’appuient sur le cadre du NIST pour faire face aux risques croissants liés à l’IA et à la chaîne d’approvisionnement.
En 2023, la Securities and Exchange Commission (SEC) a exigé que les entreprises publiques incluent une nouvelle section dans leurs documents annuels 10-K consacrée à la cybersécurité. Cette section est destinée à aborder « la gestion des risques, la stratégie, la gouvernance et les incidents en matière de cybersécurité ». J’ai été curieux de savoir ce que les hauts responsables de la cybersécurité transmettent à propos de leurs entreprises dans ces rapports. J’en ai fait un projet de recherche qui me donne également une raison de tester certaines techniques d’IA.
L’article est divisé en deux sections : mes conclusions concernant la section 1.C pour les 200 plus grandes entreprises du S&P, et la seconde étant mes méthodes utilisées pour inclure certaines technologies d’IA.
10-K Section 1.C
Une très bonne analyse de la section 1.C a déjà été réalisée, notamment une étude de la Harvard Law School, une étude de PWC et un article de l’International Journal of Accounting Information Systems. Ce furent d’excellentes lectures, mais les deux ont été réalisées il y a plus d’un an avec le premier lot de dépôts. De plus, dans le cadre de l’étude de Harvard Law, ils n’ont examiné que les 100 plus grandes entreprises. Je voulais voir si je pouvais reproduire une partie de l’analyse en utilisant les documents de cette année, ainsi que poser certaines de mes propres questions, comme s’il y aurait des changements majeurs entre 2024 et 2025.
Les entreprises sont tenues de divulguer leur gouvernance concernant les risques de cybersécurité. Les principales exigences comprennent la description de la surveillance par le conseil d’administration des cyber-risques, le comité responsable et le rôle de la direction dans l’évaluation et la gestion des menaces matérielles à la cybersécurité. Des années d’expérience sont souvent incluses.
À l’instar de l’étude de Harvard, j’examinerai qui occupe le poste de direction en matière de cybersécurité et son niveau d’expérience, à qui ils rendent compte, quelle partie du conseil d’administration supervise la cybersécurité et les normes qu’ils utilisent. Toutes les entreprises n’ont pas inclus toutes ces informations, mais la plupart d’entre elles l’ont fait. J’examinerai également les tendances globales entre 2024 et 2025.
Rôle du RSSI pour la cybersécurité
Le CIO reste le plus haut dirigeant dans un domaine varié
Surveillance du conseil d’administration
Au sein du conseil d’administration de la société, le comité d’audit est de loin le groupe responsable de la cybersécurité le plus répandu, représentant 60 % des entreprises. Ce chiffre passe à environ 70 % (138 entreprises), si l’on inclut toutes les variantes de l’audit, y compris l’audit et les risques, l’audit et les finances, etc. Dans l’ensemble, les chiffres d’audit sont restés stables entre 2024 et 2025. Les deuxième et troisième positions étaient le comité des risques et le conseil d’administration dans son ensemble.
NIST CSF pour la victoire
Le Cybersecurity Framework (CSF) du National Institute of Standards and Technology (NIST) est la norme de cybersécurité la plus référencée, augmentant entre 2024 et 2025 (113 contre 118). L’autre norme la plus courante est ISO 27001, qui a également progressé entre 2024 et 2025 (49 contre 55). Il est intéressant de noter que les contrôles système et organisationnels (SOC) n’ont été mentionnés que par 17 entreprises. Je trouve ce chiffre apparemment faible, compte tenu de l’importance du reporting SOC dans les grandes entreprises du secteur public.
Tendances générales
D’autres observations intéressantes concernaient les efforts déployés par les entreprises ainsi que les divulgations d’incidents.
- Gestion des risques tiers et supply chain. Conscientes que les partenaires et fournisseurs externes représentent un vecteur d’attaque massif, plusieurs entreprises ont mis en place des programmes rigoureux de gestion des risques liés aux tiers (TPRM). Ces programmes imposent des évaluations de sécurité avant l’engagement, une surveillance continue et des exigences contractuelles pour que les fournisseurs maintiennent les normes de sécurité et signalent rapidement les violations. Les programmes de cybersécurité tiers sont indispensables dans une économie de plus en plus interconnectée et dans un recours croissant à des outils et services externes pour les processus de l’entreprise.
- Tests proactifs et préparation aux incidents. Les entreprises abandonnent la défense passive pour se tourner vers des tests proactifs et simulés. Cela comprend des tests d’intrusion réguliers, une analyse des vulnérabilités et l’engagement d’auditeurs ou de consultants externes indépendants pour évaluer la maturité du programme et tester les contrôles. En outre, pratiquement toutes les entreprises maintiennent des plans de réponse aux incidents (IRP) formels et mènent régulièrement des « exercices de simulation » pour simuler des cyberattaques, garantissant ainsi que les équipes de direction, juridiques et opérationnelles sont prêtes à répondre aux crises du monde réel et à s’en remettre. Le diable est dans les détails sur celui-ci. Le 10-K n’est pas conçu comme un aperçu technique détaillé des méthodes de l’entreprise, donc même s’il est bon à voir, il s’agit principalement d’un langage passe-partout.
- Défenses de sécurité centrées sur l’humain. Reconnaissant que l’erreur humaine constitue une vulnérabilité majeure, une formation obligatoire de sensibilisation à la cybersécurité à l’échelle de l’entreprise est une exigence standard. Ces programmes de formation sont fréquemment complétés par des campagnes de phishing régulières et simulées pour tester la vigilance des employés et fournir un feedback immédiat et ciblé ou une formation de rattrapage. Cette formation devra s’adapter à la sophistication croissante des deep fakes activés par l’IA.
- Divulgation cohérente de « Aucun impact matériel » malgré les menaces persistantes. Une tendance omniprésente dans les dossiers est la reconnaissance du fait que même si les entreprises sont confrontées à des cyberattaques continues, sophistiquées et évolutives, elles n’ont connu à ce jour aucun incident ayant eu un effet négatif sur leur stratégie commerciale, leurs résultats d’exploitation ou leur situation financière. Je trouve cela intéressant, en particulier avec les infrastructures critiques//télécoms soumises à des compromissions répétées de VOLT/SALT TYPHOON ainsi qu’à d’autres attaques. De nombreuses entreprises révèlent également qu’elles s’appuient sur une assurance responsabilité civile pour atténuer leur exposition financière, même si elles notent fréquemment qu’elle ne couvre pas toutes les pertes potentielles. Je ferai des recherches plus approfondies ici, car il existe probablement des résultats plus intéressants entre les impacts matériels, les reportages et les divulgations formelles.
- Intelligence artificielle. L’IA a été citée par plus de 50 entreprises et est de plus en plus considérée comme une arme à double tranchant pour la cybersécurité. Les entreprises exploitent l’IA et l’apprentissage automatique pour automatiser la détection des menaces et trier de grandes quantités de données de sécurité. Cependant, plusieurs ont reconnu que l’IA permet aux auteurs de menaces d’exécuter des attaques plus sophistiquées et à grande vitesse (par exemple, deepfakes, phishing avancé). Sept autres entreprises ont mentionné leurs préoccupations concernant la divulgation de l’IA et de la propriété intellectuelle, Prudential et Capital One ayant le langage le plus explicite sur ce risque.
Partie 2 : Collecte et analyse des données
Il s’agissait d’un processus très itératif dont la complexité augmentait au fur et à mesure du processus et également en raison du besoin croissant de précision. J’ai utilisé plusieurs méthodes de codage et outils d’IA pour effectuer cette analyse. Au début, j’ai essayé d’utiliser les grands modèles pour faire tout le travail à ma place, mais cela a vite échoué car ils ne voulaient pas faire ce niveau de travail ! Il est également devenu évident qu’obtenir les dossiers 10-K demanderait plus de travail que de simplement demander à un agent IA.
Entrez un codage d’ambiance. J’ai été élevé avec les scripts C, Java et BASH et j’ai évité d’utiliser Python jusqu’à présent. Rien contre Python, je n’en ai tout simplement pas eu besoin, et la paresse d’utiliser ce que vous savez déjà a déjà pris le dessus. Cela s’est donc avéré un joli défi supplémentaire. En utilisant le module datamule Python et un peu de vibration, j’ai réussi à télécharger tous les 10-K récents des 200 plus grandes entreprises sur ma machine locale. À partir de là, j’ai extrait les sections 1.C dans un fichier séparé à l’aide d’un autre script Python. Cela a causé un petit problème car il y avait quelques différences (~ 5 %) dans les dépôts utilisant un format différent, ou le rapport sur la cybersécurité se trouvait dans une section différente du 10-K. Une quinzaine d’entreprises les placent dans la rubrique Risques ou ailleurs. J’ai utilisé un deuxième script Python qui exploitait la version en ligne de commande de Gemini (gemini-cli) pour extraire ces informations.
J’ai ensuite créé une base de données dans Postgres qui stockerait certaines des principales conclusions et permettrait une analyse plus approfondie. Pour y insérer les données, j’ai créé un script Python qui exécuterait chacun des fichiers 1.C via Gemini et Claude à l’aide d’appels API Python.
L’utilisation de l’API Gemini et de l’API Anthropic était la nouvelle partie que je souhaitais vraiment tester, et elle s’est avérée très intéressante. Les LLM brillent vraiment pour condenser et résumer des textes volumineux pour en donner du sens. L’alternative serait des expressions régulières très complexes et écrites manuellement. À l’aide de l’API Gemini et de l’API Anthropic, il a fallu l’invite ci-dessous et a produit une chaîne que j’ai ensuite pu brancher dans la commande SQL. Très cool de voir ce travail. (**Remarque : je réfléchissais également à la manière de procéder à une injection rapide, à un empoisonnement des données, etc., mais l’ensemble de données était petit et contrôlé et ce n’est pas du code de production !).
En guise d’étape de vérification, j’ai ensuite écrit un autre script qui a trouvé toutes les différences d’entrée dans la base de données entre les réponses Gemini et Claude et j’ai exécuté à nouveau la section 1.C originale via Gemini et lui ai dit de choisir quelle réponse était la meilleure. Cela a modifié environ 10 à 30 % des entrées, selon le domaine. Une analyse supplémentaire a été effectuée dans Google Sheets et Google NotebookLM.
Avec cela, j’ai créé un flux de travail de base compatible avec l’IA. Ce n’était pas agent, mais ce serait intéressant d’en créer une version automatisée. Ce projet a montré une partie du potentiel de productivité de l’IA en me permettant d’effectuer des recherches très détaillées en 15 à 20 heures de travail environ, ce qui aurait pris au moins deux fois plus de temps à la main. Il a également souligné le problème persistant de l’exactitude là où elle est nécessaire. La majeure partie des 15 à 20 heures a été consacrée à la vérification et au perfectionnement pour s’assurer que les réponses de l’IA étaient correctes.
Le coût total en jetons pour le développement, le débogage et l’exécution était d’environ 15 $, ce qui n’est pas cher, mais ce n’est pas quelque chose que je développerais probablement pour chaque projet que j’ai. La majeure partie de ce coût est venue du raffinement et de l’ajout de contrôles de vérification supplémentaires pour garantir l’exactitude des données. Les projets suivants pourraient essayer de le faire sur mon ordinateur local en utilisant un LLM local comme llama3 en utilisant ollama ou peut-être un agent qui autorise les requêtes sur l’ensemble de données créé par ce projet.
GEMINI_PROMPT = """
Analyze this SEC 10-K document and extract the following cybersecurity information.
Return the response strictly as a JSON object with these exact keys:
{
"senior_cyber": "Name or title of the senior person responsible for cybersecurity. Provide a one word response either CISO, CTO, CSO, CIO, or position title.",
"report_to": "Title or name of who the senior cybersecurity person reports to. one word response either CEO,
CTO, CSO, CIO, position title, or unknown. ",
"board": "The board committee overseeing cybersecurity Provide a 1-3 word answer. ",
"standards": "The cybersecurity standards/frameworks used use provide 5-7 word answer. If unknown, state unknown. use acronyms if available (e.g., NIST, NIST CSF, NIST CSF 2.0, ISO 27001)",
"years_of_experience": integer representing years of experience (use 0 if unknown)
}
"""
MODEL_ID = 'gemini-2.5-flash'
—----
# 6. Update PostgreSQL
upsert_query = """
INSERT INTO company_cyber_filings_v1_4 (ticker, filing_date, senior_cyber, reports_to, board, st
andards, years_of_experience)
VALUES (%s, %s, %s,%s,%s,%s,%s)
ON CONFLICT (ticker, filing_date)
DO UPDATE SET
senior_cyber = EXCLUDED.senior_cyber,
reports_to = EXCLUDED.reports_to,
board = EXCLUDED.board,
standards = EXCLUDED.standards,
years_of_experience = EXCLUDED.years_of_experience;
"""
# 4. Upload file
formatted_date = f"{year}-{month}-{day}" # Formatted for standard SQL DATE
cursor.execute(upsert_query, (
prefix,
formatted_date,
gemini_data.get("senior_cyber"),
gemini_data.get("report_to"),
gemini_data.get("board"),
gemini_data.get("standards"),
gemini_data.get("years_of_experience")
))
cursor.execute(upsert_query, (prefix,f"{year}{month}{day}"))
conn.commit()
print(f" -> Saved to database.")Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
