Le 26 juillet 2023, la Securities and Exchange Commission (SEC) a adopté des règles définitives qui exigent notamment que les entreprises publiques divulguent les incidents de cybersécurité importants dans les quatre jours ouvrables suivant la détermination de l’importance de l’incident. Les règles exigent également une divulgation périodique sur la gestion, la planification stratégique et la gouvernance des risques liés à la cybersécurité dans les rapports annuels.
Bien que les sociétés avaient déjà l’obligation d’informer les actionnaires en temps voulu des faits nouveaux importants, le moment exact où la divulgation d’un incident de cybersécurité devait avoir lieu n’avait pas été précisé. Les nouvelles règles fournissent une norme précise et directe; communiquez avec nous pour obtenir de l’aide concernant ces règles.
L’un des effets probables de ces nouvelles règles sera d’inciter les entreprises à réunir de manière proactive des professionnels des domaines technique, financier, juridique et de la conformité avant, pendant et après un événement. Les sociétés seront également tenues d’évaluer l’importance de l’événement bien plus tôt dans le processus de réponse aux incidents liés à la cybersécurité et de prendre rapidement des mesures pour les événements jugés importants. Elles devront non seulement déterminer si un événement doit être considéré comme important, mais aussi s’il doit être divulgué.
Les sociétés peuvent prendre des mesures dès maintenant afin de mieux se préparer aux nouvelles règles. Voici quelques exemples de mesures à prendre :
- Rassemblez les principales parties prenantes. Cela comprend l’équipe de la gestion des risques, les cadres supérieurs et les comités pertinents du conseil, l’équipe de la sécurité de l’information, y compris les équipes des opérations et des technologies de l’information, le service de la trésorerie et des finances, ainsi que les services juridiques et de conformité. En agissant de la sorte, une société donne un ton clair de communication ouverte, de rigueur et de collaboration pour faire face aux risques tant internes qu’externes. Cette mesure contribue également à garantir une harmonisation sur la manière d’intégrer les nouvelles règles dans les plans existants de réponse aux incidents et de gouvernance du conseil d’administration, ainsi que dans la communication avec les investisseurs.
- Réévaluez et testez votre plan d’intervention en cas de cyberincident. Élaborez des processus précis pour déterminer l’importance des différents types de cyberévénements qui menacent votre société. Indiquez comment les processus seront communiqués à la direction, aux conseillers en matière de divulgation et aux autres personnes chargées de la communication avec les investisseurs. Indiquez comment chaque type de cyberincident sera signalé à la SEC en temps opportun, s’il est jugé important. Mettez à jour votre stratégie de communication en cas de crise et assurez-vous de communiquer avec les experts en la matière appropriés de votre société.
- Mesurez l’exposition aux cyberrisques de la société en termes financiers. Ces renseignements vous aideront à déterminer si un cyberévénement est important pour votre société et à signaler les renseignements sur un tel événement important à la SEC.
- Tenez des dossiers complets de votre plan d’intervention en cas d’incident, des processus, des communications de la direction et des mesures prises pour déterminer si un cyberévénement est important. Les enquêteurs peuvent poser des questions sur la chronologie des événements qui ont conduit à la divulgation de l’événement important, de sorte que la tenue de dossiers complets et exacts peut s’avérer essentielle. Les actionnaires peuvent également demander à consulter les livres et les registres relatifs à la détermination de l’importance d’un événement. Cela pourrait donner lieu à une poursuite si les investisseurs et les avocats des plaignants estiment qu’ils sont fondés à soutenir que la direction a agi trop lentement ou qu’elle a mal communiqué avec les investisseurs.
- Créez un dossier complet des communications concernant les défis liés aux cyberrisques et à la cybersécurité. Les conseillers juridiques externes ou les avocats internes doivent passer en revue tous les messages, même lorsque d’autres secteurs ou sociétés présentent un facteur de risque particulier qui n’a pas encore eu d’incidence sur votre société. La SEC et d’autres organismes de réglementation, ainsi que les demandeurs actionnaires, peuvent chercher à utiliser ces communications, ou l’absence de telles communications, pour appuyer les allégations d’actes répréhensibles ou de mauvaise gestion.
- Préparez-vous de façon proactive aux renouvellements d’assurance à venir. Lors de vos prochaines discussions sur le renouvellement des polices d’assurance responsabilité civile des administrateurs et dirigeants, les assureurs pourraient vous demander de répondre à des questions sur la façon dont votre société a adapté ses normes en matière de cyberrisques et de gouvernance du conseil d’administration afin de tenir compte des nouvelles règles. Mettez l’accent sur la communication ouverte entre les membres du conseil d’administration, les cadres supérieurs, les services juridiques et les cyberprofessionnels.
Les conseillers en gestion de risques de Marsh sont à votre disposition pour vous aider à comprendre ces règles et à évaluer ce qu’elles peuvent signifier pour votre société. Pour entamer une discussion avec l’un de nos conseillers, communiquez avec votre courtier Marsh ou communiquez avec nous aux coordonnées ci-dessous.