Écrit par Ruth E. Promislow and Katherine Rusk

La Securities and Exchange Commission (SEC) des États-Unis a publié des directives mises à jour le 21 février 2018 sur la façon et le moment où les sociétés ouvertes devraient discloser les risques et les violations de cybersécurité. La SEC explique que les directives supplémentaires sont données « à la lumière de l’importance croissante des incidents de cybersécurité ».

Un élément important de l’orientation est l’obligation de divulguer des détails sur l’étendue de la surveillance des risques par le conseil. En particulier, les sociétés doivent divulguer la façon dont le conseil d’administration administre sa fonction de surveillance et l’effet que cela a sur la structure de direction du conseil. Cette exigence souligne l’attente que les conseils d’administration collaborent effectivement avec la direction sur les questions de cybersécurité.

En plus de ce qui précède, on s’attend à ce que les entreprises divulguent des renseignements sur la cybersécurité. Parmi les faits saillants, mentionnons les suivants :

• Les entreprises doivent fournir des renseignements opportuns et continus dans des rapports périodiques concernant les risques et les incidents importants en matière de cybersécurité qui déclenchent des obligations de divulgation.
• Les entreprises sont encouragées à divulguer rapidement les questions de cybersécurité.
• Les entreprises doivent divulguer les risques associés aux incidents de cybersécurité. Il est indiqué qu’il serait utile que les compagnies tiennent compte de questions telles que les suivantes : la survenance d’incidents antérieurs, y compris leur gravité et leur fréquence; la probabilité de l’occurrence et l’ampleur potentielle des incidents de cybersécurité; l’adéquation des mesures préventives; les aspects des activités de l’entreprise; et les opérations qui donnent lieu à des risques importants.
• Si des incidents ou des risques de cybersécurité affectent de manière importante les produits, les services, les relations ou les conditions concurrentielles d’une entreprise, l’entreprise doit fournir une divulgation appropriée.
• Les répercussions financières d’un incident de cybersécurité devraient être intégrées aux états financiers.

Les entreprises sont encouragées « à adopter des politiques et des procédures complètes liées à la cybersécurité et à évaluer régulièrement leur conformité, y compris la suffisance de leurs contrôles et procédures de divulgation en ce qui concerne la divulgation de la cybersécurité ».

Les lignes directrices énoncent en outre l’exigence selon laquelle les sociétés d’exploitation publique doivent informer les investisseurs des risques et des incidents de cybersécurité en temps opportun. Cela inclut les entreprises qui n’ont pas encore été la cible d’une cyberattaque, mais qui sont soumises à des risques de cybersécurité. Plus précisément, en ce qui concerne les sociétés d’exploitation publiques, la ligne directrice aborde deux sujets qui n’ont pas été développés dans les lignes directrices de 2011 : les politiques et procédures de cybersécurité requises; et l’interdiction de négocier des titres de la société par des initiés de la société qui sont en possession de informations liées aux cyberincidents.

Les directives élargies de la SEC soulignent la réalité incontournable selon laquelle la cybersécurité doit être une priorité pour toutes les entreprises, et en particulier pour les administrateurs.