Cybersécurité et gouvernance d’entreprise: La SEC publie les toutes premières directives sur la divulgation des risques de cybersécurité

Dans le paysage en évolution rapide de la gouvernance d’entreprise, l’un des problèmes les plus récents à émerger pour les dirigeants et les administrateurs à considérer est la préparation et la surveillance de la cybersécurité, ainsi que la réponse aux cyberincidents et (dans certains cas) la déclaration. Ces obligations en matière de gouvernance de la cybersécurité sont doubles. Premièrement, pour les systèmes de TI internes, cette surveillance peut être effectuée dans le cadre d’une pratique de gestion interne. Cependant, lorsqu’une partie de l’infrastructure informatique d’une entreprise est fournie par des tiers (y compris l’externalisation, les services partagés, les services de gestion inter-entreprises, le SaaS ou l’informatique en nuage), l’exécution efficace de ces services doit être régie par le contrat de service connexe. En effet, l’externalisation ou la relégation des tâches opérationnelles quotidiennes de toute opération ou processus opérationnel de TI ne décharge pas les dirigeants ou le conseil d’administration de leurs fonctions continues de gouvernance de surveillance et de supervision. Étant donné que les fonctions de gouvernance d’entreprise ne s’évaporent pas lors de telles transactions de services gérés, les obligations de gouvernance précédemment exécutées par les voies de gestion interne doivent continuer d’être supervisées en vertu des droits contractuels énoncés dans l’accord de services pertinent.

La Securities & Exchange Commission (SEC) des États-Unis a récemment indiqué très clairement que les risques et les implications d’une violation de la cybersécurité ne font pas exception. En fait, à mesure que les entreprises deviennent de plus en plus dépendantes des communications et des ressources informatiques basées sur Internet (y compris l’informatique en nuage), que les entreprises internationalisent de plus en plus leurs opérations et diversifient globalement leur chaîne d’approvisionnement, et avec l’explosion de l’infrastructure intelligente et des systèmes « intelligents », le risque de cybervol, de sabotage, d’espionnage et même de cyberattaque a gagné une priorité croissante pour ceux qui sont chargés de la gouvernance d’entreprise et des fonctions de conformité.

Le mois dernier, la SEC a élevé la question du risque de cybersécurité pour les sociétés cotées en bourse lorsqu’elle a publié ses premières directives pour la divulgation des risques et des incidents de cybersécurité (13/11 octobre – Directives sur la divulgation des FC : Sujet no 2). Bien que les directives de cybersécurité de la SEC ne soient pas une exigence légale ou réglementaire contraignante, la SEC souligne qu’une cyberattaque pourrait affecter directement la capacité d’un inscrit à se conformer à de nombreuses autres exigences légales et réglementaires existantes en matière de divulgation et de déclaration, telles que lorsqu’une cyberattaque corrompt ou sabote des informations et des rapports financiers, ou empêche autrement la capacité d’un inscrit à enregistrer, traiter, résumer et rapporter les informations requises de la SEC.

Les lignes directrices de la SEC sur la cybersécurité suggèrent, en partie, les principes de divulgation suivants et, dans une certaine mesure, fournissent un rappel des obligations de divulgation existantes telles qu’elles s’appliquent à un contexte de cybersécurité :

1. Les personnes inscrites devraient examiner la mesure dans laquelle un certain nombre d’exigences de divulgation existantes peuvent obliger les personnes inscrites à divulguer les risques de cybersécurité et les cyberincidents.
2. Les personnes inscrites devraient examiner, de façon continue, la pertinence de leurs processus de divulgation et des documents relatifs aux risques de cybersécurité et aux cyberincidents. On s’attend à ce que les personnes inscrites évaluent leurs risques pour la cybersécurité et tiennent compte de tous les renseignements pertinents.
3. La SEC s’attend à ce que les personnes inscrites évaluent leurs risques pour la cybersécurité et tiennent compte de tous les renseignements pertinents disponibles, y compris les cyberincidents antérieurs ainsi que de la gravité et de la fréquence de ces incidents. Dans le cadre de cette évaluation, les titulaires d’homologation devraient tenir compte de la probabilité que des cyberincidents se produisent et de l’ampleur quantitative et qualitative de ces risques, y compris les coûts potentiels et les autres conséquences découlant du détournement de biens ou de renseignements sensibles, de la corruption de données ou de perturbations opérationnelles.
4. Les risques d’incidents cybernétiques doivent être divulgués si ces risques sont parmi les facteurs les plus importants qui rendent un investissement dans l’entreprise spéculatif ou risqué.
5. Les titulaires d’homologation devraient tenir compte de la pertinence des mesures préventives prises pour réduire les risques pour la cybersécurité dans le contexte de l’industrie dans laquelle ils exercent leurs activités.
6. Les divulgations devraient éviter la terminologie générique passe-partout et devraient être adaptées aux circonstances particulières de chaque inscrit en matière de cybersécurité.
7. Les risques pour la cybersécurité et les cyberincidents peuvent avoir une grande incidence sur les états financiers d’un inscrit, selon la nature et la gravité de l’incident potentiel ou réel. Par exemple, dans la mesure où un cyberincident est découvert après la date de clôture, mais avant la publication des états financiers, la nature (et une estimation de l’effet financier) d’un incident qui constitue un événement subséquent important non reconnu doivent être divulguées.
8. Si des cyberattaques (et peut-être d’autres cyberrisques connues) ont incité l’inscrit à augmenter considérablement ses dépenses de protection de la cybersécurité, l’inscrit doit divulguer ces dépenses.
9. Les procédures judiciaires importantes en cours liées à un cyberincident peuvent nécessiter une divulgation, par exemple lorsqu’une quantité importante de renseignements sur les clients est volée et qu’un litige important est en cours en conséquence.
10. Les personnes inscrites devraient se demander si des cyberincidents pourraient ou non nuire à la capacité de l’entreprise d’enregistrer, de traiter, de résumer et de signaler les renseignements requis à la SEC, par exemple s’il est raisonnablement possible qu’un cyberincident puisse affecter les systèmes d’information d’un inscrit de cette manière.