Le 24 juin 2024, la Division of Corporation Finance de la SEC a publié cinq nouvelles interprétations de conformité et de divulgation (C&DI) pour clarifier la déclaration des incidents de cybersécurité au titre de l'article 1.05 du formulaire 8-K, traitant spécifiquement des situations impliquant des paiements de rançongiciels. Ces mises à jour font suite aux récentes directives du directeur financier des sociétés, Erik Gerding, sur les divulgations de cybersécurité. L'article 1.05 du formulaire 8-K, adopté le 26 juillet 2023, exige que les sociétés cotées en bourse divulguent les incidents de cybersécurité importants dans les quatre jours suivant la détermination de l'importance de l'incident, en détaillant la nature, la portée, le calendrier et l'impact sur la situation financière et les opérations de l'entreprise. Les entreprises doivent évaluer rapidement l'importance des incidents et modifier les divulgations si de nouvelles informations importantes apparaissent. 

Les nouvelles règles C&DI soulignent que les entreprises doivent évaluer la matérialité d’une attaque de ransomware même si un paiement résout l’incident avant de prendre cette décision. La cessation de l’incident en raison d’un paiement n’exempte pas les entreprises de cette obligation. Si une attaque de ransomware est jugée importante, les entreprises doivent la signaler sous la rubrique 1.05 du formulaire 8-K, que le paiement mette fin à l’incident avant la date limite de dépôt. En outre, l’existence d’une cyberassurance couvrant le paiement de la ransomware ne rend pas automatiquement l’incident non important. Le montant du paiement de la ransomware à lui seul n’est pas déterminant pour l’importance de l’incident ; les entreprises doivent prendre en compte tous les facteurs quantitatifs et qualitatifs pertinents, y compris l’impact plus large sur les opérations, les finances et la réputation. En outre, si une entreprise subit plusieurs incidents de cybersécurité connexes qui sont individuellement non importants, elle doit évaluer si ces incidents constituent collectivement un événement important. 

Les directives du directeur Gerding soulignent que seuls les incidents de cybersécurité matériels doivent être divulgués au titre du point 1.05. Pour les divulgations volontaires d'incidents non matériels, les entreprises doivent utiliser un élément différent du formulaire 8-K, tel que le point 8.01, afin d'éviter toute confusion chez les investisseurs. Les entreprises doivent tenir compte à la fois des impacts quantitatifs, tels que les pertes financières, et des impacts qualitatifs, tels que l'atteinte à la réputation et la confiance des clients, dans leurs évaluations de matérialité. Cette approche globale garantit que les investisseurs reçoivent des informations claires et précises, conformément à l'accent mis par la SEC sur une gestion rigoureuse des risques de cybersécurité et sur la transparence des divulgations liées aux facteurs ESG. 

Sources : 

https://www.mofo.com/resources/insights/240625-u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure 

https://www.securitiesdocket.com/2024/06/26/u-s-sec-issues-updated-guidance-on-cybersecurity-disclosure-under-item-1-05-of-form-8-k-morrison-foerster/