La Securities and Exchange Commission (SEC), le rgulateur boursier amricain, a adopt mercredi des rgles obligeant les entreprises publiques divulguer dans un dlai de quatre jours toutes les violations de cyberscurit susceptibles daffecter leurs rsultats financiers. Des dlais seront autoriss si une divulgation immdiate prsente de graves risques pour la scurit nationale ou la scurit publique.
Les nouvelles rgles, adoptes par un vote de 3 contre 2, exigent galement que les socits cotes en bourse divulguent chaque anne des informations sur leur gestion des risques lis la cyberscurit et sur lexpertise de leurs dirigeants dans ce domaine. Lobjectif est de protger les investisseurs.
Les divulgations de violations peuvent tre retardes si le procureur gnral des tats-Unis dtermine quelles poseraient un risque substantiel pour la scurit nationale ou la scurit publique et en informe par crit la SEC. Seules des circonstances extraordinaires pourraient permettre de prolonger ce dlai au-del de 60 jours.
Quune entreprise perde une usine dans un incendie ou des millions de fichiers dans un incident de cyberscurit, cela peut tre important pour les investisseurs , a dclar le prsident de la SEC, Gary Gensler, dans un communiqu, soulignant lincohrence actuelle des divulgations. Les rgles apporteront plus de transparence dans un risque autrement opaque mais croissant et pourraient inciter amliorer les dfenses de cyberscurit – tout en posant potentiellement un plus grand dfi aux petites entreprises disposant de ressources limites, a reconnu Lesley Ritter, vice-prsidente senior chez Moodys Investors Service, dans un communiqu.
Les rgles ont t proposes pour la premire fois en mars 2022, lorsque la SEC a estim que les violations des rseaux dentreprise constituaient un risque croissant mesure que leur numrisation des oprations et le travail distance augmentaient – et que le cot pour les investisseurs des incidents lis la cyberscurit augmentait.
Alors que certains oprateurs dinfrastructures critiques et tous les prestataires de soins de sant doivent par la loi signaler les violations, aucune loi fdrale sur la divulgation des violations nexiste. Dans un nouveau rapport publi par IBM, les chercheurs ont constat que les organisations paient dsormais en moyenne 4,5 millions de dollars pour faire face aux violations – une augmentation de 15 % au cours des trois dernires annes. Les chercheurs du Ponemon Institute ont galement constat que les entreprises touches reportent gnralement les cots sur les consommateurs, qui peuvent eux-mmes tre victimes avec des informations personnelles voles lors dune violation.
Une multiplication des cyberattaques
Les rgles de la SEC interviennent dans un contexte de multiplication des cyberattaques visant des entreprises publiques, notamment dans les secteurs de lnergie, de la sant, de la finance et des transports. Voici quelques exemples de violations de cyberscurit qui ont touch des socits cotes en bourse :
- Equifax: en 2017, une vulnrabilit dune application web a permis des pirates de voler les donnes personnelles de 145 millions dAmricains, dont des numros de scurit sociale, des dates de naissance et des adresses. La socit de notation de crdit a mis plus dun mois rvler lincident, ce qui lui a valu des critiques et des poursuites judiciaires. Elle a accept de payer 700 millions de dollars pour rgler les plaintes des consommateurs et des autorits. Pendant les investigations, il a t dcouvert que l’entreprise s’est servi de son propre logiciel pour identifier les employs en tltravail qui avaient un autre emploi temps plein tout en tant employs par Equifax et les a licenci : Nous nous attendons ce que notre quipe soit entirement ddie EFX et n’ait qu’un rle leur travail chez EFX , a crit Begor dans le courriel, o EFX fait rfrence Equifax. Je suis sr que vous tes aussi du que moi .
- Yahoo: 3 milliards de comptes dutilisateurs ont t compromis en 2013 aprs quune tentative de phishing ait donn aux pirates laccs au rseau. La socit na rvl lampleur de la violation quen 2016, alors quelle tait en cours de rachat par Verizon. Elle a d rduire le prix de vente de 350 millions de dollars et payer 85 millions de dollars pour rgler une action collective.
- eBay: le site denchres en ligne a subi une importante violation en 2014, qui a expos les noms, les adresses, les mots de passe et les numros de tlphone de 145 millions dutilisateurs. La socit a demand ses clients de changer leurs mots de passe, mais na pas fourni beaucoup de dtails sur lorigine ou limpact de lattaque. Elle a t sanctionne par plusieurs autorits europennes pour avoir manqu ses obligations en matire de protection des donnes.
- Ashley Madison: le site de rencontres pour personnes maries souhaitant avoir des aventures a t pirat en 2015. Les pirates ont divulgu les noms, les adresses lectroniques, les prfrences sexuelles et les informations de carte de crdit de plus de 30 millions dutilisateurs. La socit mre du site, Avid Life Media, a t poursuivie par plusieurs clients et a accept de payer 11,2 millions de dollars pour rgler les litiges.
Ces exemples montrent que les violations de cyberscurit peuvent avoir des consquences nfastes pour la rputation, la confiance et la performance financire des entreprises publiques. Les nouvelles rgles de la SEC visent renforcer la responsabilit et la transparence des socits cotes en bourse face ce risque croissant. Elles pourraient galement encourager les entreprises investir davantage dans la prvention et la dtection des cyberattaques, ainsi qu cooprer avec les autorits comptentes en cas dincident.
Comment se protger contre les cyberattaques ?
Face ces menaces, les entreprises publiques doivent adopter des mesures de protection adaptes leur niveau de risque et leur secteur dactivit. Voici quelques bonnes pratiques de cyberscurit suivre en 2023 :
- Former les employs la cyberscurit : les employs sont souvent le maillon faible de la chane de scurit, car ils peuvent tre victimes de phishing, de social engineering ou derreurs humaines. Il est donc essentiel de les sensibiliser aux risques et de leur apprendre les gestes simples pour se protger, comme choisir des mots de passe forts, ne pas cliquer sur des liens ou des pices jointes suspects, ou encore utiliser un VPN pour se connecter distance.
- Mettre jour les logiciels et les systmes : les cybercriminels exploitent souvent les failles de scurit des logiciels et des systmes obsoltes pour sintroduire dans les rseaux. Il est donc important de maintenir jour les versions des logiciels et des systmes utiliss, en appliquant les correctifs et les mises jour disponibles. Il est galement recommand dutiliser des logiciels antivirus et antimalware pour dtecter et bloquer les ventuelles intrusions.
- Scuriser les donnes sensibles : les donnes sensibles, comme les informations personnelles, financires ou stratgiques, sont particulirement convoites par les cybercriminels. Il est donc ncessaire de les protger par des mesures appropries, comme le chiffrement, la sauvegarde, la limitation des accs ou la destruction scurise. Il est galement conseill de respecter les normes et les rglementations en vigueur en matire de protection des donnes, comme le RGPD en Europe ou le NIST aux tats-Unis.
- Renforcer la rsilience : malgr toutes les prcautions prises, il est impossible dliminer totalement le risque de cyberattaque. Il est donc primordial de se prparer faire face une ventuelle crise, en laborant un plan de continuit dactivit, en testant rgulirement la capacit de raction et de rcupration, et en communiquant efficacement avec les parties prenantes internes et externes. Il est galement utile de tirer les leons des incidents passs et damliorer en permanence la stratgie de cyberscurit.
La cyberscurit est un enjeu majeur pour les entreprises publiques en 2023. Les nouvelles rgles de la SEC visent renforcer la transparence et la responsabilit des socits cotes en bourse face ce risque. Mais au-del du respect des obligations lgales, il est dans lintrt des entreprises publiques dadopter une dmarche proactive et volontaire pour se protger contre les cyberattaques et assurer leur prennit.
Source : SEC
Et vous ?
Que pensez-vous des nouvelles rgles de la SEC sur la divulgation des violations de cyberscurit ?
Une mesure qui devrait inspirer d’autres pays ? Pourquoi ?
Avez-vous dj t victime ou tmoin dune cyberattaque ? Si oui, comment avez-vous ragi ?
Quelles sont les mesures que vous prenez pour protger vos donnes personnelles et professionnelles sur internet ?
Quels sont les secteurs dactivit les plus exposs aux cyberattaques selon vous ?
Quels sont les avantages et les inconvnients de la numrisation des oprations pour les entreprises publiques ?
Voir aussi :
Equifax pourrait s’en tirer avec une amende de 700 M$, aprs la violation de donnes de 2017, et payer seulement 4 $ chaque victime
Yahoo confirme le piratage de plus d’un demi-milliard de comptes, la socit attribue l’attaque un groupe parrain par un tat