Règles finales de la SEC : focus sur la cybersécurité

Les menaces et les incidents liés à la cybersécurité continuent de représenter des risques importants pour les entreprises publiques, les investisseurs et les acteurs du marché à l'échelle mondiale. Le coût de ces incidents pour les entreprises et les investisseurs continue de croître. Afin d'améliorer et de normaliser les informations fournies par les entreprises publiques en matière de gestion des risques de cybersécurité, de stratégie de cybersécurité, de gouvernance et d'incidents liés à la cybersécurité matérielle, la Securities and Exchange Commission (SEC) des États-Unis a proposé et adopté de nouvelles règles.

 

Le 26 juillet 2023, la SEC a adopté les règles finales "Gestion des risques de cybersécurité, stratégie, gouvernance et divulgation des incidents" pour normaliser et améliorer les divulgations relatives aux incidents de cybersécurité et aux processus de gestion des risques.

Eliza Davies

Un article de

Eliza Davies
Consultante en Cyber Sécurité et Management du Risque
Publié le
April 30, 2024
mis à jour le
temps
min
Règles finales de la SEC - C-Risk

Qu'est-ce que la SEC ?

La SEC est une agence de réglementation fédérale indépendante des États-Unis fondée en 1934 et chargée de protéger les investisseurs, de maintenir un fonctionnement équitable et ordonné des marchés, des valeurs mobilières et de faciliter la formation de capital. Les agences fédérales, en général, font partie de la branche exécutive du gouvernement.
Ces agences sont mandatées par le Congrès
pour
publier des
règlements basés sur les lois
édictée
par le Congrès. Le processus de publication de nouvelles réglementations s'appelle "établissement de règles".

Règles de divulgation en matière de cybersécurité

La SEC publie des règles finales pour clarifier l'interprétation de la législation fédérale et la manière dont les lois doivent être mises en œuvre. L'agence peut également définir les exigences et interdictions, ainsi que publier des directives ou d'autres déclarations de politique générale.

 

Les règles finales publiées en juillet 2023 sur les divulgations en matière de cybersécurité sont entrées en vigueur à compter du 5 septembre 2023. Les sociétés cotées en bourse aux États-Unis doivent désormais fournir des informations sur la gestion des risques, la stratégie et la gouvernance en matière de cybersécurité à la SEC en commençant par leurs rapports annuels pour l'exercice financier se terminant le 15 décembre 2023 ou après cette date. Et pour les exigences de divulgation des incidents de cybersécurité importants énoncées à la rubrique 1.05 du formulaire 8-K, les entreprises doivent commencer à s'y conformer le 18 décembre 2023.

 

Les entreprises qui se qualifient comme "petites sociétés déclarantes" disposent de 180 jours supplémentaires pour commencer à déclarer le point 1.05 sur le formulaire 8-K. Ces petites sociétés déclarantes commenceront à divulguer les cyberincidents importants à compter du 15 juin 2024.

Les règles finales incluent également des exigences de déclaration et de divulgation pour les émetteurs privés étrangers (EPE). Il s'agit notamment du formulaire 20-F pour les rapports annuels et du formulaire 6-K pour les rapports actuels. Les EPE sont réglementés différemment et ont des exigences liées à leur pays d'origine et à leurs exigences en matière de rapports.

Règles finales de la SEC : focus sur la cybersécurité

La conformité réglementaire n'est que la première étape de la résilience opérationnelle numérique

C-Risk peut vous aider à communiquer efficacement l'impact financier et opérationnel des cyberrisques, en garantissant une allocation stratégique des ressources qui correspond à vos objectifs commerciaux.

Déterminations de la matérialité

L'action consistant à divulguer un cyberincident à la SEC à l'aide du formulaire 8-K, élément 1.05, est une question de matérialité. Qu'est-ce que la matérialité selon la SEC ? Le concept de matérialité est à la base du droit américain des valeurs mobilières.

 

En pratique, il n'y a pas de réponse simple. Il n'existe aucune définition prescriptive qui indique si une chose est matérielle. La SEC a toujours affirmé qu'aux fins de la divulgation, l'importance relative doit être interprétée conformément à la jurisprudence applicable.

 

Une interprétation de la Cour suprême des États-Unis, dans sa décision de 1976 dans l'affaire TSC Industries c. Northway, Inc., a statué qu'un fait est important s'il existe "une forte probabilité que le fait... ait été considéré par l'investisseur raisonnable comme ayant modifié de manière significative la « combinaison totale » des informations mises à disposition."

 

L'exemple ci-dessus est traité dans le Bulletin de comptabilité du personnel de la SEC : No 99 — Materiality publié en 1999. Le bulletin développe les questions relatives à l'évaluation de l'importance relative et des inexactitudes dans les états financiers. L'une des questions est de savoir si un seuil quantitatif peut être appliqué pour déterminer si un élément est important pour les états financiers. La réponse de la SEC est que, bien que des « règles empiriques » puissent être utiles, le fait de se fier à un pourcentage ou à un seuil numérique spécifique n'a aucun fondement dans la littérature comptable ou la législation en vigueur.

En général, les entreprises doivent tenir compte de facteurs « quantitatifs » et « qualitatifs » pour évaluer l'importance relative. Ils constituent le "« mélange total » d'informations. "

 

Faciliter la prise de décisions éclairées pour les investisseurs

Les investisseurs, comme toute entreprise, doivent comprendre les risques associés à une décision à prendre. Les règles finales visent à aider les investisseurs à prendre des décisions éclairées. Ils visent également à bénéficier aux entreprises et au marché en général en les obligeant à examiner de plus près leurs processus de gouvernance et de gestion des risques en matière de cybersécurité.

 

À propos des nouvelles règles, le président de la SEC, Gary Gensler, a déclaré que si de nombreuses entreprises publiques fournissent déjà des informations sur la cybersécurité aux investisseurs, tout le monde bénéficierait d'un processus standardisé. Les nouvelles informations sur la cybersécurité aident les investisseurs à évaluer les risques qui pèsent sur leurs investissements, comme ils le font pour les autres informations sur les risques.

Les nouvelles règles visent à fournir aux investisseurs "les informations opportunes, cohérentes, comparables et utiles à la prise de décisions dont ils ont besoin pour prendre des décisions éclairées en matière d'investissement et de vote."

Méthodes qualitatives et quantitatives

Lorsqu'elles sont utilisées seules, les méthodes qualitatives et quantitatives de gestion des risques ont leurs limites. Des facteurs tels que les biais cognitifs, les incohérences, le manque de contexte et l'excès de confiance peuvent entraver l'efficacité de la communication et de la prise de décisions concernant les investissements et la sécurité.

 

Les régulateurs plaident en faveur d'une gouvernance d'entreprise renforcée en matière de cyberrisques. La mise en œuvre d'une approche basée sur les risques et axée sur les données peut fournir aux régulateurs et aux investisseurs la preuve que votre entreprise dispose d'un processus décisionnel solide.

 

En combinant des méthodes de gestion des risques qualitatives et quantitatives, votre entreprise peut atteindre bien plus que la simple conformité réglementaire. Le cadre FAIR propose une méthode transparente et reproductible pour quantifier les risques cyber et technologiques en termes financiers. La quantification des risques cyber (CRQ) peut être intégrée à votre processus de gestion des risques, quel que soit le niveau de maturité de votre entreprise. Cela permet d'évaluer les décisions de sécurité en termes commerciaux, de hiérarchiser les investissements en fonction des capacités de contrôle et d'accroître la productivité.

L'équipe de consultants en cybersécurité et en gestion des risques certifiés FAIR de C-Risk est prête à aider votre entreprise à atteindre bien plus que la simple conformité réglementaire. Contactez-nous dès aujourd'hui pour découvrir comment nous pouvons vous aider à quantifier les risques informatiques et technologiques en termes financiers et à accroître votre productivité.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.