Les entreprises n’auront plus besoin de dire si leurs conseils d’administration ont des experts en cybersécurité en vertu des nouvelles règles des régulateurs financiers américains, mais cela n’a pas diminué l’importance de les avoir disponibles, disent les chefs d’entreprise.
La Securities and Exchange Commission des États-Unis a proposé en mars 2022 une réglementation qui aurait obligé les entreprises à divulguer quels administrateurs, le cas échéant, avaient une connaissance ou une expérience significative en matière de cybersécurité. La SEC a abandonné cette disposition dans la version finale de la règle adopté mercredi.
L’Association nationale des administrateurs de sociétés et d’autres organisations avaient critiqué la proposition dans des lettres de commentaires, affirmant que le conseil d’administration n’était pas le bon endroit pour concentrer les connaissances en matière de cybersécurité.
“Je suis reconnaissant qu’il ait été abandonné parce que je pense qu’il aurait présenté une prescription indue sur les conseils d’administration”, a déclaré Peter Gleason, président et chef de la direction de NACD. « La gestion des risques réside dans la gestion.
Gleason a déclaré que la proposition présentait également des problèmes car elle aurait pu amener les entreprises à nommer des vétérans de la sécurité à leurs conseils d’administration qui avait une concentration étroite sur ces questionset non les risques plus larges auxquels une entreprise est confrontée.
Michael Oberlaender, un responsable expérimenté de la sécurité de l’information qui siège au conseil d’administration d’Isaca, une organisation de formation à la gouvernance technologique, s’est dit “choqué” que la SEC ait renoncé à exiger des conseils d’administration qu’ils divulguent l’expertise cybernétique des administrateurs. Cette décision laissera certains RSSI sans allié pour demandes de budget et de projet pour atténuer les risques de sécurité, a déclaré Oberlaender.
« La SEC doit obliger le conseil d’administration à avoir des connaissances sur la cybersécurité afin que le CISO ait un point de contact. C’est tout un langage indirect et un bla bla bla juridique », a-t-il déclaré, faisant référence au mandat plus souple de la SEC pour les entreprises de décrire le processus de surveillance du conseil d’administration chaque année.
De nombreuses grandes entreprises n’auront pas besoin d’ajuster radicalement leur approche de la surveillance du conseil d’administration, a déclaré Phil Venables, CISO chez Google Cloud.
Photo:
Aaron P. Bernstein/Bloomberg News
La SEC n’a pas complètement laissé les conseils d’administration s’en tirer. Les administrateurs sont censés exercer une surveillance sur les processus de gestion des risques de cybersécurité, et ceux-ci doivent être détaillés dans les rapports annuels, selon la règle finale.
Cela signifie que même si les conseils d’administration ne sont pas tenus de divulguer quels administrateurs ont de l’expérience en matière de cybersécurité, ils ont toujours besoin de personnes possédant ces connaissances, a déclaré Merritt Baer, responsable de la sécurité de l’information chez le fournisseur de sécurité cloud Lacework.
“La divulgation du processus de surveillance est une motivation pour obtenir plus d’expertise du conseil d’administration – ou cela devrait l’être”, a déclaré Baer, qui faisait partie du bureau du CISO à
Amazonec’est
Société cloud AWS jusqu’à ce mois-ci. « Lorsque nous voyons des entreprises dotées d’une expertise en sécurité au sein du conseil d’administration, elles sont mieux équipées pour prendre des décisions concernant les risques, mais aussi pour prendre des décisions concernant les futures initiatives commerciales », a-t-elle déclaré.
Selon Phil Venables, CISO chez
Alphabetc’est
Unité Google Cloud.
«Une grande partie du Fortune 500 a ce sujet raisonnablement bien couvert. Mais il y a une longue queue de petites et moyennes entreprises publiques qui vont probablement devoir comprendre cela », a-t-il déclaré.
Un résultat probable est que les conseils s’engageront davantage avec les cadres responsables de la gestion des cyber-risques. La SEC n’a pas modifié l’obligation pour les entreprises de signaler les cyberattaques quatre jours ouvrables après avoir déterminé que cela pourrait avoir un impact important sur leurs opérations, ce qui signifie que les administrateurs devront être en mesure de se mettre au courant rapidement.
“Les RSSI seront davantage présents dans les salles de réunion”, a déclaré Dominique Shelton Leipzig, partenaire de la pratique de la cybersécurité et de la confidentialité des données du cabinet d’avocats Mayer Brown.
Photo:
Perkins Coie LLP
“Les RSSI seront davantage présents dans les salles de réunion”, a déclaré Dominique Shelton Leipzig, partenaire de la pratique de la cybersécurité et de la confidentialité des données du cabinet d’avocats Mayer Brown.
Il sera important pour les RSSI de faire appel à des experts juridiques et autres pour les aider à expliquer les implications financières plus larges des incidents matériels de cybersécurité, a-t-elle déclaré. Certaines questions, telles que celles impliquant l’assurance, peuvent ne pas être purement techniques et nécessiteront une autre expertise pour être expliquées, a-t-elle déclaré.
Cela peut également accroître la pression sur les chefs de la sécurité, qui ont été aux prises avec la perspective d’augmenter les risques de responsabilité civile de leur travail.
“L’objectif sur le dos du CISO vient de devenir beaucoup plus grand parce que le conseil d’administration n’a pas beaucoup de responsabilité supplémentaire sur ces questions”, a déclaré Bob Zukis, fondateur et PDG du Digital Directors Network, qui plaide pour que les conseils d’administration inclure des administrateurs ayant des connaissances techniques. « Si j’étais RSSI et que je n’avais pas de partisan ou de défenseur dans la salle de conseil, je n’accepterais pas ce poste », a-t-il déclaré.
—Catherine Stupp et Kim S. Nash ont contribué à cet article.
Écrivez à James Rundle à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
