De nouvelles règles régissant le moment où les sociétés cotées en bourse doivent signaler les cyberattaques graves aux régulateurs financiers se concentrent sur la matérialité. Les dirigeants ne sont pas d’accord sur la question de savoir si le concept est aussi simple qu’il y paraît.
La Securities and Exchange Commission des États-Unis a adopté la semaine dernière des règles définitives qui obligent les sociétés cotées en bourse à signaler les cyberattaques au plus tard quatre jours après avoir déterminé qu’un piratage aura un impact important. La plupart des entreprises doivent commencer à signaler de telles attaques à partir du 18 décembre, sous un formulaire 8-K.
“Les questions de matérialité ne sont pas du tout des questions faciles”, a déclaré Lona Nallengara, associée du cabinet d’avocats Shearman & Sterling, qui était auparavant chef de cabinet de l’ancienne présidente de la SEC, Mary Jo White.
Contrairement à un incendie d’usine qui met immédiatement fin à la production, les retombées d’une cyberattaque peuvent ne pas être apparentes tout de suite, a déclaré Michael Oberlaender, consultant indépendant et ancien responsable de la sécurité de l’information qui siège au conseil d’administration de la section de Houston d’Isaca, une formation en gouvernance technologique. organisation.
Ce qui ressemble à une violation mineure de 100 dossiers de clients pourrait se révéler être un million alors qu’une enquête se poursuit. Il est courant de voir des entreprises divulguer une accumulation de coûts d’attaque avec chaque état financier trimestriel, a-t-il ajouté. “L’impact se révèle au fil des semaines et des mois”, a-t-il déclaré.
L’argument central de la SEC est que les investisseurs doivent être informés des cyberincidents qui peuvent affecter la santé financière et les performances d’une entreprise. Un cyberincident important diminue la valeur actionnariale de 9 % en moyenne l’année suivante, selon un rapport publié mardi par la société de services professionnels Aon.
La SEC a donné aux entreprises le pouvoir discrétionnaire de déterminer si un piratage est important tant que la définition est conforme à la jurisprudence établie et à la législation promulguée dans les années 1930.
C’est-à-dire qu’une information est importante si une personne raisonnable la considère comme importante lorsqu’elle prend une décision d’investissement ou si elle affecte de manière significative les informations disponibles publiquement sur une entreprise. Tout doute doit être résolu en faveur de l’investisseur.
“Même si les dirigeants ne sont pas explicitement tenus de faire un certain niveau de divulgation, les PDG et les conseils d’administration seraient bien avisés d’exercer le plus haut niveau de franchise et de franchise dans les communications liées à la cybersécurité”, a déclaré Thomas View, directeur général de Temvi, qui conseille hauts dirigeants sur la cyber-responsabilité.
La clé pour les cadres responsables de la cybersécurité sera de documenter leur processus et leur réflexion lors de l’évaluation de la matérialité. La SEC a inclus certaines protections contre les entreprises qui tentent de retarder la déclaration. L’agence a déclaré qu’une détermination de l’importance doit être faite «dès que raisonnablement possible après la découverte d’un incident» et que les entreprises doivent divulguer les critères selon lesquels elles déterminent l’importance dans leurs rapports annuels.
La seule méthode par laquelle un rapport peut être retardé est une demande directe du procureur général des États-Unis, par écrit, pour protéger la sécurité nationale ou la sécurité publique.
“Nous notons que dans la majorité des cas, les déclarants auront eu plus de temps avant la détermination de l’importance, de sorte que la divulgation devenant due moins d’une semaine après la découverte devrait être rare”, a déclaré l’agence dans les règles finales.
Pour les chefs de la sécurité, les nouvelles règles offrent une certaine flexibilité pour décider quand, dans leur processus de réponse aux incidents, une détermination de la matérialité doit être faite, a déclaré Rex Booth, CISO de la société de cybersécurité SailPoint.
“Tout RSSI normal, rationnel et bien intentionné disposera d’un temps suffisant pour mener son enquête, déterminer la matérialité, puis faire rapport”, a déclaré Booth, qui était directeur de l’engagement des parties prenantes au Bureau du directeur national du cyber. jusqu’en septembre 2022. “Cela ne semble pas assez strict pour justifier ces plaintes que nous voyons.”
Des règles similaires obligeant les agences fédérales à signaler les cyberattaques au Département de la sécurité intérieure, promulguées en 2017, ont conduit à de meilleurs processus de réponse aux incidents, a-t-il déclaré.
Les investisseurs, dans le cadre des nouvelles exigences, verront si l’entreprise dispose des processus nécessaires pour identifier, hiérarchiser et résoudre les problèmes de sécurité, a déclaré Merritt Baer, CISO de terrain chez le fournisseur de sécurité cloud Lacework et ancien haut responsable de la cybersécurité au Federal Commission de la communication. Quatre jours, a-t-elle dit, c’est assez long pour rendre compte d’une détermination de l’importance.
“La SEC demande vraiment des efforts raisonnables pour être responsable”, a-t-elle déclaré. Les règles sont également susceptibles de mettre plus souvent les RSSI en contact avec les conseils d’administration et les comités de divulgation, étant donné que les administrateurs doivent être conscients des détails susceptibles d’affecter les déterminations de l’importance relative.
“J’espère que cela incitera l’entreprise à donner une place à la table au RSSI et aux membres du conseil d’administration à faire de la cybersécurité un intérêt commercial intentionnel”, a-t-elle déclaré. Si les nouvelles règles poussent les managers et les administrateurs dans cette direction, “la SEC aura fait partie de l’innovation”, a-t-elle déclaré.
Écrivez à James Rundle à [email protected] et à Kim S. Nash à [email protected]
Copyright ©2022 Dow Jones & Company, Inc. Tous droits réservés. 87990cbe856818d5eddac44c7b1cdeb8
