Qu'est-ce que la SEC ?
La SEC est une agence de réglementation fédérale indépendante des États-Unis fondée en 1934 et chargée de protéger les investisseurs, de maintenir un fonctionnement équitable et ordonné des marchés, des valeurs mobilières et de faciliter la formation de capital. Les agences fédérales, en général, font partie de la branche exécutive du gouvernement. Ces agences sont mandatées par le Congrès pour publier des règlements basés sur les lois édictée par le Congrès. Le processus de publication de nouvelles réglementations s'appelle "établissement de règles".
Règles de divulgation en matière de cybersécurité
La SEC publie des règles finales pour clarifier l'interprétation de la législation fédérale et la manière dont les lois doivent être mises en œuvre. L'agence peut également définir les exigences et interdictions, ainsi que publier des directives ou d'autres déclarations de politique générale.
Les règles finales publiées en juillet 2023 sur les divulgations en matière de cybersécurité sont entrées en vigueur à compter du 5 septembre 2023. Les sociétés cotées en bourse aux États-Unis doivent désormais fournir des informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité à la SEC en commençant par leurs rapports annuels pour l'exercice financier se terminant le 15 décembre 2023 ou après cette date. Et pour les exigences de divulgation des incidents de cybersécurité importants énoncées à la rubrique 1.05 du formulaire 8-K, les entreprises doivent commencer à s'y conformer le 18 décembre 2023.
Les entreprises qui se qualifient comme "petites sociétés déclarantes" disposent de 180 jours supplémentaires pour commencer à déclarer le point 1.05 sur le formulaire 8-K. Ces petites sociétés déclarantes commenceront à divulguer les cyberincidents importants à compter du 15 juin 2024.
Les règles finales incluent également des exigences de déclaration et de divulgation pour les émetteurs privés étrangers (EPE). Il s'agit notamment du formulaire 20-F pour les rapports annuels et du formulaire 6-K pour les rapports actuels. Les EPE sont réglementés différemment et ont des exigences liées à leur pays d'origine et à leurs exigences en matière de rapports.
La conformité réglementaire n'est que la première étape de la résilience opérationnelle numérique
C-Risk peut vous aider à communiquer efficacement l'impact financier et opérationnel des cyberrisques, en garantissant une allocation stratégique des ressources qui correspond à vos objectifs commerciaux.
Déterminations de la matérialité
L'action consistant à divulguer un cyberincident à la SEC à l'aide du formulaire 8-K, élément 1.05, est une question de matérialité. Qu'est-ce que la matérialité selon la SEC ? Le concept de matérialité est à la base du droit américain des valeurs mobilières.
En pratique, il n'y a pas de réponse simple. Il n'existe aucune définition prescriptive qui indique si une chose est matérielle. La SEC a toujours affirmé qu'aux fins de la divulgation, l'importance relative doit être interprétée conformément à la jurisprudence applicable.
Une interprétation de la Cour suprême des États-Unis, dans sa décision de 1976 dans l'affaire TSC Industries c. Northway, Inc., a statué qu'un fait est important s'il existe "une forte probabilité que le fait... ait été considéré par l'investisseur raisonnable comme ayant modifié de manière significative la « combinaison totale » des informations mises à disposition."
L'exemple ci-dessus est traité dans le Bulletin de comptabilité du personnel de la SEC : No 99 — Materiality publié en 1999. Le bulletin développe les questions relatives à l'évaluation de l'importance relative et des inexactitudes dans les états financiers. L'une des questions est de savoir si un seuil quantitatif peut être appliqué pour déterminer si un élément est important pour les états financiers. La réponse de la SEC est que, bien que des « règles empiriques » puissent être utiles, le fait de se fier à un pourcentage ou à un seuil numérique spécifique n'a aucun fondement dans la littérature comptable ou la législation en vigueur.
En général, les entreprises doivent tenir compte de facteurs « quantitatifs » et « qualitatifs » pour évaluer l'importance relative. Ils constituent le "« mélange total » d'informations. "
Faciliter la prise de décisions éclairées pour les investisseurs
Les investisseurs, comme toute entreprise, doivent comprendre les risques associés à une décision à prendre. Les règles finales visent à aider les investisseurs à prendre des décisions éclairées. Ils visent également à bénéficier aux entreprises et au marché en général en les obligeant à examiner de plus près leurs processus de gouvernance et de gestion des risques en matière de cybersécurité.
À propos des nouvelles règles, le président de la SEC, Gary Gensler, a déclaré que si de nombreuses entreprises publiques fournissent déjà des informations sur la cybersécurité aux investisseurs, tout le monde bénéficierait d'un processus standardisé. Les nouvelles informations sur la cybersécurité aident les investisseurs à évaluer les risques qui pèsent sur leurs investissements, comme ils le font pour les autres informations sur les risques.
Les nouvelles règles visent à fournir aux investisseurs "les informations opportunes, cohérentes, comparables et utiles à la prise de décisions dont ils ont besoin pour prendre des décisions éclairées en matière d'investissement et de vote."
Méthodes qualitatives et quantitatives
Lorsqu'elles sont utilisées seules, les méthodes qualitatives et quantitatives de gestion des risques ont leurs limites. Des facteurs tels que les biais cognitifs, les incohérences, le manque de contexte et l'excès de confiance peuvent entraver l'efficacité de la communication et de la prise de décisions concernant les investissements et la sécurité.
Les régulateurs plaident en faveur d'une gouvernance d'entreprise renforcée en matière de cyberrisques. La mise en œuvre d'une approche basée sur les risques et axée sur les données peut fournir aux régulateurs et aux investisseurs la preuve que votre entreprise dispose d'un processus décisionnel solide.
En combinant des méthodes de gestion des risques qualitatives et quantitatives, votre entreprise peut atteindre bien plus que la simple conformité réglementaire. Le cadre FAIR propose une méthode transparente et reproductible pour quantifier les risques cyber et technologiques en termes financiers. La quantification des risques cyber (CRQ) peut être intégrée à votre processus de gestion des risques, quel que soit le niveau de maturité de votre entreprise. Cela permet d'évaluer les décisions de sécurité en termes commerciaux, de hiérarchiser les investissements en fonction des capacités de contrôle et d'accroître la productivité.
L'équipe de consultants en cybersécurité et en gestion des risques certifiés FAIR de C-Risk est prête à aider votre entreprise à atteindre bien plus que la simple conformité réglementaire. Contactez-nous dès aujourd'hui pour découvrir comment nous pouvons vous aider à quantifier les risques informatiques et technologiques en termes financiers et à accroître votre productivité.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.
