La SEC joue au dur avec une nouvelle règle de cybersécurité

Par Danny Bradbury • 10 Août 2023

La Securities and Exchange Commission (SEC) vient de durcir sa position à l'égard des entreprises publiques en matière de cybersécurité. Le 26 juillet, il a publié son Gestion des risques de cybersécurité, stratégie, gouvernance et divulgation des incidents règle. Initialement proposé l'année dernière, il s'applique aux sociétés cotées en bourse, exigeant qu'elles informent la SEC dans les quatre jours d'une violation importante de la cybersécurité.

Il s’agit de la dernière d’une lente initiative visant à encourager la divulgation d’incidents de sécurité qui a débuté en 2011 avec les conseils du personnel de la SEC. Il a indiqué que divers règlements de la Commission pourraient imposer la divulgation des incidents de cybersécurité, même s'il n'existe aucune règle explicite à leur sujet. En 2018, la Commission a publié des orientations interprétatives, soulignant que les entreprises pouvaient divulguer les incidents de cybersécurité. Cependant, ces divulgations étaient encore inégales et faites à différents endroits avec des niveaux de détail variables.

La nouvelle règle vise à changer cela en dictant explicitement des exigences cohérentes en matière de divulgation des incidents de sécurité. Il oblige les entreprises à remplir le formulaire 8-K, un formulaire de divulgation populaire qui devient ensuite disponible sur le site Web de la Commission.

La divulgation comprend une brève description de l'incident, sa portée au moment où l'incident a été découvert, s'il est en cours et son effet sur les opérations. La règle exige également que les entreprises décrivent leurs processus d'évaluation des risques de cybersécurité et expliquent comment le conseil d'administration et la direction supervisent ces risques.

Réaction

Tout le monde n’était pas fan de la dernière règle. Melissa MacGregor, avocate générale adjointe et secrétaire générale de la Securities Industry and Financial Markets Association (SIFMA), s'inquiète du fait que la règle en demande trop, trop tôt. La règle « impose la divulgation publique d’informations considérablement trop nombreuses, trop sensibles et hautement subjectives, à des moments prématurés, sans la déférence requise envers les régulateurs prudentiels des entreprises publiques ou les agences spécialisées en cybersécurité compétentes », a-t-elle déclaré. dit dans une déclaration au Washington Post.

S'exprimant au nom de du Center for Cybersecurity Policy and Law, Harley Geiger, avocat du cabinet d'avocats Venable LLP, a également mis en garde contre la courte fenêtre de divulgation. "En tant que bonne pratique générale, les cyberincidents en cours devraient rester silencieux jusqu'à ce qu'ils soient contenus et que le vecteur d'attaque soit fermé, mais la règle de la SEC va changer ce manuel", a-t-il déclaré.

La SEC avait quelque peu tempéré la règle, limitant la portée de la divulgation aux seuls détails importants et à l'ampleur de l'incident de sécurité et à tout impact important sur l'entreprise. Elle donne également au procureur général le pouvoir de retarder la divulgation de 30 jours.

"Cependant, aucun de ces changements ne répond aux préoccupations selon lesquelles la divulgation publique d'incidents cybernétiques non maîtrisés ou non atténués crée un risque que les attaquants soient alertés de vulnérabilités non corrigées et causent davantage de dommages", a déclaré Geiger. "Le délai AG ne sera probablement exercé que dans des cas exceptionnels."

Même ceux du secteur de la sécurité avaient des réserves. Tara Wisniewski, vice-présidente exécutive du plaidoyer, des marchés mondiaux et de l'engagement des membres chez (ISC)2, l'organisation à but non lucratif de sécurité qui régit la certification CISSP, craignait que la règle ne soit pas suffisamment détaillée.

"Bien que nous soutenions les principes fondamentaux de la divulgation publique pour informer et protéger les actionnaires, les clients et les autres constituants, la décision de la SEC est d'une vague inquiétante", a déclaré Wisniewski. aurait déclaré. "Cela pose plus de questions que de réponses et peut créer une ambiguïté pour les cyberprofessionnels."

Autres propositions

Les groupes industriels s'inquiètent également de plusieurs aspects des règles de cybersécurité et de gestion des risques de la SEC. En juin, la Securities Industry and Financial Markets Association (SIFMA) fretté sur la confusion entre certaines autres règles en préparation par la SEC.

La divulgation, sous une forme ou une autre, passe par ces autres règles proposées. On aurait prolonger le règlement SP, qui couvre la confidentialité des données des clients pour les courtiers, les sociétés d'investissement et les conseillers enregistrés. La règle les obligerait à adopter des plans écrits de réponse aux incidents de cybersécurité, y compris des notifications de divulgation de violation, dans un délai de 30 jours. Il élargit également le champ d'application du règlement, en l'étendant aux agents de transfert et en élargissant la définition des informations sur les clients pour inclure les données collectées en interne et auprès de tiers.

D'autres règles se concentrent sur la gestion des risques de cybersécurité, notamment Règle 10, qui s'appliquerait aux courtiers et aux participants aux échanges de titres. Cela les oblige à informer immédiatement la Commission de toute violation de la sécurité, tout en évaluant et en documentant régulièrement les risques de cybersécurité et en informant le public des risques et des violations sur leurs sites Web. Ils devraient également mettre en œuvre et documenter des contrôles de cybersécurité et créer un plan de réponse aux incidents.

La SEC a un ensemble séparé des règles de gestion des risques proposées pour les conseillers et les fonds, élargissant les règles existantes en matière de divulgation des risques et de tenue de registres pour inclure les risques et les politiques de cybersécurité. Ils obligeraient les conseillers et les fonds d'investissement à inclure des informations sur les risques de cybersécurité sur le formulaire ADV, qui est le formulaire de divulgation incontournable pour d'autres éléments tels que les risques financiers et les conflits d'intérêts. Des politiques de cybersécurité documentées deviendraient également obligatoires.

"La Commission n'a pas fourni d'orientations sous une forme concrète concernant le chevauchement considérable entre la proposition de réglementation SP et la proposition de règle 10 et les propositions associées", a déclaré SIFMA, avertissant que la SEC devrait harmoniser la proposition SP avec les autres.

Enfin, la SEC poursuit change aux règles de conformité et d'intégrité des systèmes de réglementation de 2014 de la SEC, qu'elle a publiées pour garantir la sécurité des systèmes de négociation. Les modifications élargiraient la réglementation pour couvrir les courtiers, les référentiels détenant des données sur les swaps de titres et davantage d'agences de compensation. Cela imposerait également davantage d'exigences, notamment la surveillance de la sécurité et de la continuité des activités des tiers tels que les fournisseurs de services cloud et l'adoption de contrôles d'accès au système (qui, étonnamment, n'étaient pas requis par le SCI).

Le document de la SEC sur la règle de cybersécurité adopté en juillet comprenait des concessions en réponse à certains commentaires, ainsi que de solides ripostes pour d'autres. Que les gens estiment ou non que la règle est allée trop loin, le fait que la Commission intensifie ses réglementations sérieuses pour clarifier un risque croissant en matière de cybersécurité est louable. En fait, la plus grande question concernant la règle est de savoir pourquoi elle a pris autant de temps.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury

La cyber-sécurité 13 November 2025

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine

Les récentes mesures exécutives et restructurations d'agences marquent un changement significatif dans la stratégie fédérale en matière de cybersécurité, soulevant des questions sur la résilience nationale...

Danny Bradbury

La SEC joue au dur avec une nouvelle règle de cybersécurité

Réaction

Autres propositions

Danny Bradbury

Articles connexes

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

L’ère de la conformité : comment la réglementation, la technologie et le risque redéfinissent les normes commerciales

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

Lire la suite de Danny Bradbury

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

Évaluation du changement de cap de l'administration Trump en matière de politique de cybersécurité américaine