• Cabinet
  • Bureaux
  • Carrières
  • Nouvelles
  • Étudiants
  • Anciens
  • Paiements
  • EN | FR
Background Image
Bennett Jones Logo
  • Équipe
  • Expertise
  • Ressources
  • Recherche
  • EN Menu
  • Recherche mobile
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Voir tout
Domaines de pratique
Droit des sociétés Litige Affaires réglementaires Droit fiscal Voir tout
Secteurs
Énergie Infrastructures Mines Capital-investissement et fonds de placement Voir tout
Services-conseils
Gestion des crises et des risques Politique publique
Consultez les mandats représentatifs
Expérience internationale
Perspectives Nouvelles Événements S’abonner
Angle d'arbitrage Perspectives liées à l’intelligence artificielle Balado « Business Law Talks » Actions collectives : Perspectives d’avenir Info-éclair sur les recours collectifs
Perspectives économiques Série sur la nouvelle économie de l’énergie Les Brèves du capital-investissement Aperçus trimestriels des technologies financières Aperçu trimestriel sur les fusions et acquisitions
L'ESG et le DSI
Équipe
Bureaux
Cabinet
Domaines de pratique
Secteurs
Enjeux Strategiques
Mandats représentatifs
Perspectives
Nouvelles
Événements
Carrières
Étudiants
Anciens
Paiements
Recherche
S’abonner

Restez au fait des dernières nouvelles et de nos événements dans le domaine des affaires et du droit.

LinkedIn LinkedIn Twitter Twitter Vimeo Vimeo
 

Cybersécurité et gouvernance d’entreprise: La SEC publie les toutes premières directives sur la divulgation des risques de cybersécurité

22 novembre 2011

Dans le paysage en évolution rapide de la gouvernance d’entreprise, l’un des problèmes les plus récents à émerger pour les dirigeants et les administrateurs à considérer est la préparation et la surveillance de la cybersécurité, ainsi que la réponse aux cyberincidents et (dans certains cas) la déclaration. Ces obligations en matière de gouvernance de la cybersécurité sont doubles. Premièrement, pour les systèmes de TI internes, cette surveillance peut être effectuée dans le cadre d’une pratique de gestion interne. Cependant, lorsqu’une partie de l’infrastructure informatique d’une entreprise est fournie par des tiers (y compris l’externalisation, les services partagés, les services de gestion inter-entreprises, le SaaS ou l’informatique en nuage), l’exécution efficace de ces services doit être régie par le contrat de service connexe. En effet, l’externalisation ou la relégation des tâches opérationnelles quotidiennes de toute opération ou processus opérationnel de TI ne décharge pas les dirigeants ou le conseil d’administration de leurs fonctions continues de gouvernance de surveillance et de supervision. Étant donné que les fonctions de gouvernance d’entreprise ne s’évaporent pas lors de telles transactions de services gérés, les obligations de gouvernance précédemment exécutées par les voies de gestion interne doivent continuer d’être supervisées en vertu des droits contractuels énoncés dans l’accord de services pertinent.

La Securities & Exchange Commission (SEC) des États-Unis a récemment indiqué très clairement que les risques et les implications d’une violation de la cybersécurité ne font pas exception. En fait, à mesure que les entreprises deviennent de plus en plus dépendantes des communications et des ressources informatiques basées sur Internet (y compris l’informatique en nuage), que les entreprises internationalisent de plus en plus leurs opérations et diversifient globalement leur chaîne d’approvisionnement, et avec l’explosion de l’infrastructure intelligente et des systèmes « intelligents », le risque de cybervol, de sabotage, d’espionnage et même de cyberattaque a gagné une priorité croissante pour ceux qui sont chargés de la gouvernance d’entreprise et des fonctions de conformité.

Le mois dernier, la SEC a élevé la question du risque de cybersécurité pour les sociétés cotées en bourse lorsqu’elle a publié ses premières directives pour la divulgation des risques et des incidents de cybersécurité (13/11 octobre – Directives sur la divulgation des FC : Sujet no 2). Bien que les directives de cybersécurité de la SEC ne soient pas une exigence légale ou réglementaire contraignante, la SEC souligne qu’une cyberattaque pourrait affecter directement la capacité d’un inscrit à se conformer à de nombreuses autres exigences légales et réglementaires existantes en matière de divulgation et de déclaration, telles que lorsqu’une cyberattaque corrompt ou sabote des informations et des rapports financiers, ou empêche autrement la capacité d’un inscrit à enregistrer, traiter, résumer et rapporter les informations requises de la SEC.

Les lignes directrices de la SEC sur la cybersécurité suggèrent, en partie, les principes de divulgation suivants et, dans une certaine mesure, fournissent un rappel des obligations de divulgation existantes telles qu’elles s’appliquent à un contexte de cybersécurité :

  1. Les personnes inscrites devraient examiner la mesure dans laquelle un certain nombre d’exigences de divulgation existantes peuvent obliger les personnes inscrites à divulguer les risques de cybersécurité et les cyberincidents.
  2. Les personnes inscrites devraient examiner, de façon continue, la pertinence de leurs processus de divulgation et des documents relatifs aux risques de cybersécurité et aux cyberincidents. On s’attend à ce que les personnes inscrites évaluent leurs risques pour la cybersécurité et tiennent compte de tous les renseignements pertinents.
  3. La SEC s’attend à ce que les personnes inscrites évaluent leurs risques pour la cybersécurité et tiennent compte de tous les renseignements pertinents disponibles, y compris les cyberincidents antérieurs ainsi que de la gravité et de la fréquence de ces incidents. Dans le cadre de cette évaluation, les titulaires d’homologation devraient tenir compte de la probabilité que des cyberincidents se produisent et de l’ampleur quantitative et qualitative de ces risques, y compris les coûts potentiels et les autres conséquences découlant du détournement de biens ou de renseignements sensibles, de la corruption de données ou de perturbations opérationnelles.
  4. Les risques d’incidents cybernétiques doivent être divulgués si ces risques sont parmi les facteurs les plus importants qui rendent un investissement dans l’entreprise spéculatif ou risqué.
  5. Les titulaires d’homologation devraient tenir compte de la pertinence des mesures préventives prises pour réduire les risques pour la cybersécurité dans le contexte de l’industrie dans laquelle ils exercent leurs activités.
  6. Les divulgations devraient éviter la terminologie générique passe-partout et devraient être adaptées aux circonstances particulières de chaque inscrit en matière de cybersécurité.
  7. Les risques pour la cybersécurité et les cyberincidents peuvent avoir une grande incidence sur les états financiers d’un inscrit, selon la nature et la gravité de l’incident potentiel ou réel. Par exemple, dans la mesure où un cyberincident est découvert après la date de clôture, mais avant la publication des états financiers, la nature (et une estimation de l’effet financier) d’un incident qui constitue un événement subséquent important non reconnu doivent être divulguées.
  8. Si des cyberattaques (et peut-être d’autres cyberrisques connues) ont incité l’inscrit à augmenter considérablement ses dépenses de protection de la cybersécurité, l’inscrit doit divulguer ces dépenses.
  9. Les procédures judiciaires importantes en cours liées à un cyberincident peuvent nécessiter une divulgation, par exemple lorsqu’une quantité importante de renseignements sur les clients est volée et qu’un litige important est en cours en conséquence.
  10. Les personnes inscrites devraient se demander si des cyberincidents pourraient ou non nuire à la capacité de l’entreprise d’enregistrer, de traiter, de résumer et de signaler les renseignements requis à la SEC, par exemple s’il est raisonnablement possible qu’un cyberincident puisse affecter les systèmes d’information d’un inscrit de cette manière.

Traduction alimentée par l’IA.

Veuillez noter que cette publication présente un aperçu des tendances juridiques notables et des mises à jour connexes. Elle est fournie à titre informatif seulement et ne saurait remplacer un conseil juridique personnalisé. Si vous avez besoin de conseils adaptés à votre propre situation, veuillez communiquer avec l’un des auteurs pour savoir comment nous pouvons vous aider à gérer vos besoins juridiques.

Pour obtenir l’autorisation de republier la présente publication ou toute autre publication, veuillez communiquer avec Amrita Kochhar à kochhara@bennettjones.com.

Liens connexes

  • Perspectives
  • Nouvelles
  • S’abonner

Expertise connexe

  • Cybersécurité
  • Gouvernance d’entreprise
  • Services informatiques et commerciaux

Articles récents

Mandats représentatifs

Bennett Jones conseille Osisko Development dans le cadre d’un financement de 650 millions de dollars américains pour le projet aurifère Cariboo

20 août 2025
       

Annonces

Dominique Hussey, Melanie Teetaert et Cheryl Woodin reconnues parmi les 100 meilleures femmes en litige de Benchmark

14 août 2025
       

Articles

Canadian Mining Journal : L’exploitation minière en haute mer prend la scène internationale

14 août 2025
       

Annonces

Lamont Bartlett et Katherine Booth classés sur la prestigieuse liste de 2025 des meilleurs avocats en litige de 40 ans et moins de Benchmark Litigation

14 août 2025
       

Mandats représentatifs

J.S. Held acquiert GHL Consultants et prend de l’expansion au Canada

12 août 2025
       

Dans les nouvelles

Serge Dupont à l’émission The House on Canada’s Climate Goals – Aspirations and Reality

11 août 2025
       

Dans les nouvelles

Loi sur une économie canadienne : Faire croître ensemble le secteur de l’énergie

07 août 2025
       

Annonces

Vingt-cinq avocats de Bennett Jones classés dans l’édition spéciale de Lexpert sur l’énergie

06 août 2025
       

Dans les nouvelles

La configuration du terrain dans les transactions énergétiques

06 août 2025
       
Bennett Jones Centennial Footer
Bennett Jones Centennial Footer
Cabinet
  • Direction
  • Diversité
  • Communauté
  • Innovation
  • Sécurité
Bureaux
  • Calgary
  • Edmonton
  • Montréal
  • Ottawa
  • Toronto
  • Vancouver
  • New York
Se connecter
  • Perspectives
  • Nouvelles
  • Événements
  • Carrières
  • Étudiants
  • Anciens
S’abonner

Restez au fait des dernières nouvelles et de nos événements dans le domaine des affaires et du droit.

LinkedIn LinkedIn Twitter Twitter Vimeo Vimeo
© Bennett Jones S.E.N.C.R.L., s.r.l. 2025. Tous droits réservés. Traduction alimentée par l’IA
  • Politique de confidentialité
  • Avis de non-responsabilité
  • Conditions d’utilisation
Logo Bennett Jones