Règles de cybersécurité de la SEC pour les entreprises publiques
Les nouvelles règles de la SEC exigeront une divulgation rapide des incidents, des rapports clairs sur les politiques et procédures de gestion des cyber-risques et une plus grande implication du conseil d’administration.
En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a publié un nouvel ensemble de règles de divulgation en matière de cybersécurité concernant les entreprises publiques aux États-Unis. Ces règles visent à aider les investisseurs à décider où investir en fournissant plus d’informations sur le sérieux avec lequel une entreprise prend en compte les risques de cybersécurité.
Les entreprises qui peuvent partager des détails sur leur processus de suivi des cyber-risques, comme la façon dont elles créent et suivent les scores de cyber-risque au fil du temps, tout en créant un processus simple et reproductible pour rendre compte à leur conseil d’administration des risques de cybersécurité et l’y impliquer, peuvent se différencier aux yeux des investisseurs.
La SEC cherche à harmoniser les entreprises qui fournissent suffisamment de données pour informer les investisseurs sans « augmenter la vulnérabilité d’une entreprise aux cyberattaques… pour éviter d’exiger la divulgation des types de détails opérationnels susceptibles d’être utilisés comme armes par les acteurs malveillants ».
Le Federal Register indique que les règles sont entrées en vigueur le 5 septembre 2023.
Divulgation des détails des incidents importants de cybersécurité dans les quatre jours ouvrables suivant leur constatation.
Fournir une description des « processus, le cas échéant, pour évaluer, identifier et gérer les risques importants liés aux menaces de cybersécurité… »
À présenter en Inline eXtensible Business Reporting Language (Inline XBRL).
Fournir une description de la surveillance des risques de cybersécurité par le conseil d’administration ainsi que de son rôle et de son expertise dans l’évaluation et la gestion des risques importants liés aux menaces de cybersécurité.
Examinez les nouvelles règles avec les responsables de la sécurité, ainsi qu’avec les équipes d’audit et financières qui gèrent les dossiers, pour créer un processus permettant de respecter le délai de quatre jours en cas d’événement important.
Assurez-vous que votre entreprise sait parfaitement comment déterminer quand un événement de cybersécurité atteint le seuil le qualifiant « d’important ».
Les responsables de la sécurité doivent rédiger leur description du processus de compréhension et d’évaluation des cyber-risques. Il peut s’agir d’outils de gestion des cyber-risques, des risques que ces outils traitent (par exemple, la surface d’attaque externe ou le risque de perte de données) et des processus suivis par leurs équipes pour atténuer les risques identifiés.
Les responsables de la sécurité et de l’audit doivent travailler avec le conseil d’administration pour créer un processus, s’il n’en existe pas déjà un, définissant la manière dont le conseil prévoit de superviser les cyber-risques. Il peut s’agir de faire de la cybersécurité un sujet permanent dans les rapports d’activité trimestriels pour examiner les scores de risque, les principaux facteurs de risque, les mesures d’atténuation et les investissements nécessaires.
Les responsables de la sécurité doivent identifier et interroger les membres du conseil d’administration possédant une expertise en cybersécurité pour capturer et partager les documents annuels et les procurations.
Risk360 mesure les cyber-risques dans les domaines clés de la chaîne d’attaque :
Découvrez le risque que des hackers découvrent et exploitent les faiblesses de la surface d’attaque en examinant les variables détectables.
Comprenez et atténuez les risques en examinant un large éventail d’événements, de configurations de sécurité et d’attributs de flux de trafic pour calculer la probabilité d’une compromission.
Identifiez le risque de propagation latérale des menaces au sein de l’entreprise en examinant une série de paramètres et de mesures d’accès privé.
Analysez et limitez le risque que des hackers exfiltrent des données.
Risk360
Passer à l’étape suivante
Demandez à nos experts de vous montrer comment Zscaler Risk360 minimise la surface d’attaque de votre entreprise, empêche les déplacements latéraux et élimine le risque de perte de données.