La Securities and Exchange Commission (SEC) a récemment publié de nouvelles orientations visant à aider les entreprises publiques à se conformer à sa règle de divulgation en matière de cybersécurité. Cette règle, finalisée en juillet 2023, exige que les entreprises américaines cotées en bourse signalent les incidents de cybersécurité importants dans un délai de quatre jours. Elle exige également la divulgation annuelle des stratégies de gestion des risques et des structures de gouvernance liées à la cybersécurité. 

Les nouvelles orientations de la SEC, publiées le 24 juin 2024, fournissent cinq interprétations de conformité et de divulgation (C&DI) qui clarifient la manière dont les entreprises doivent évaluer et divulguer les événements importants liés à la cybersécurité. Ces orientations soulignent l'importance de procéder à des évaluations approfondies de l'importance relative de tous les incidents de cybersécurité, quel que soit leur impact financier immédiat. 

L'un des principaux enseignements des orientations de la SEC est que les entreprises doivent déterminer l'importance d'un incident de cybersécurité, même si l'incident est résolu rapidement ou si le paiement d'une rançon est couvert par une assurance. Le guide indique également que de petits incidents, considérés collectivement, peuvent être considérés comme importants s'ils sont liés ou s'ils exploitent la même vulnérabilité. 

Les évaluations de l'importance relative sont essentielles pour déterminer si un événement lié à la cybersécurité doit être communiqué aux investisseurs. La SEC insiste sur le fait que ces évaluations doivent être réalisées après chaque incident cybernétique, avec l'aide d'un conseiller en valeurs mobilières externe et du conseil d'administration de l'entreprise. Cela permet de s'assurer que les entreprises s'acquittent de leurs responsabilités en matière de divulgation en vertu de la règle de la SEC. 

Pour les entreprises, ces orientations soulignent la nécessité de mettre en place de solides processus d'évaluation de la matérialité dans le cadre de leur stratégie globale en matière d'ESG et de développement durable. Elles soulignent également l'importance d'une gestion proactive des risques liés à la cybersécurité afin d'atténuer les incidences potentielles sur le plan financier et sur celui de la réputation. 

La SEC mettant de plus en plus l'accent sur la divulgation des informations relatives à la cybersécurité, les entreprises publiques doivent donner la priorité aux évaluations de l'importance relative afin de garantir la conformité et la transparence de leurs pratiques en matière de communication d'informations. 

Sources : 

https://global.lockton.com/us/en/news-insights/new-sec-cybersecurity-compliance-and-disclosure-interpretations-put-focus-on 

https://kpmg.com/us/en/media/news/sec-cybersecurity-disclosure-rules-2024.html