Augmentation significative des signalements en cybersécurité à la SEC !

L’introduction de nouvelles règles de divulgation en matière de cybersécurité par la Commission des valeurs mobilières des États-Unis (SEC) a entraîné une augmentation significative du nombre d’incidents de cybersécurité signalés par les entreprises publiques. C’est ce qu’affirme un cabinet d’avocats américain renommé, spécialisé dans les domaines de la finance et des fusions-acquisitions, Paul Hastings LLP.

Selon leur analyse, depuis l’entrée en vigueur de la loi sur la divulgation en 2023, les rapports concernant des incidents de cybersécurité ont augmenté de 60 %, avec 78 % des divulgations effectuées dans les huit jours suivant la découverte de l’incident.

Les réglementations exigent que les entreprises publiques divulguent les incidents de cybersécurité significatifs dans les quatre jours ouvrables suivant leur identification, afin d’offrir aux investisseurs des informations pertinentes et en temps voulu, susceptibles d’influencer leurs décisions d’investissement.

Malgré cette augmentation des divulgations, moins de 10 % d’entre elles détaillent les impacts matériels de ces incidents, ce qui révèle une hésitation potentielle ou une difficulté à évaluer rapidement les impacts globaux. Les entreprises doivent souvent faire face au défi d’équilibrer un reporting détaillé tout en protégeant des informations sensibles, car les règles ne requièrent pas la divulgation de détails techniques spécifiques qui pourraient nuire aux efforts de remédiation.

Michelle Reed, coprésidente de la pratique de confidentialité des données et de cybersécurité chez Paul Hastings, a indiqué que cette hésitation provient probablement du fait que les entreprises divulguent très rapidement afin d’éviter des pénalités de la SEC pour divulgation tardive.

« L’année à venir sera un terrain d’essai intéressant pour voir comment la matérialité dans le domaine cybernétique se définit finalement », a déclaré Reed dans une interview.

La clause de matérialité a entraîné des résultats inconsistants parmi les entreprises ayant signalé un incident de cybersécurité. Par exemple, l’attaque par ransomware contre le fournisseur de logiciels automobiles CDK Global en juin a conduit à des divulgations de matérialité variées. La société mère de CDK, Brookfield Business Partners, a déclaré dans sa divulgation de juillet ne pas « s’attendre à ce que cet incident ait un impact matériel » sur leur activité, malgré le paiement d’une rançon de 25 millions de dollars.

D’autres concessionnaires automobiles ont également déposé des divulgations affirmant que l’attaque contre CDK avait eu un impact négatif sur leur société, sans toutefois affirmer que l’incident a causé un « impact matériel ».

Reed a souligné que ces cas mettent en lumière l’ambiguïté à laquelle les entreprises sont confrontées pour déterminer la profondeur des informations nécessaires pour le reporting, tout en évitant la divulgation de mesures de sécurité sensibles qui pourraient aggraver les vulnérabilités et entraîner des poursuites judiciaires.

« La matérialité est une échelle mobile, qui pèse le risque et la probabilité d’impact », a-t-elle précisé. « La même violation peut se produire dans deux entreprises différentes, et selon la taille de l’entreprise et l’efficacité de leur réponse à l’incident, l’une peut être obligée de divulguer tandis que l’autre ne le sera pas. »

Un autre point soulevé dans le rapport est la fréquence des violations de données chez des tiers, qui représentent un incident sur quatre. Le rapport souligne que ce type d’incident de cybersécurité pose des dilemmes supplémentaires pour les entreprises concernant la divulgation des violations chez des tiers, surtout lorsque d’autres sociétés ont pu signaler un incident relatif à la même violation.

Pour en savoir plus, consultez le rapport complet sur le site de Paul Hastings.