Règles de cybersécurité de la SEC pour les entreprises publiques
Les nouvelles règles de la SEC exigeront une divulgation rapide des incidents, des rapports clairs sur les politiques et procédures de gestion des cyber-risques et une plus grande implication du conseil d’administration.
En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a publié un nouvel ensemble de règles de divulgation en matière de cybersécurité concernant les entreprises publiques aux États-Unis. Ces règles visent à aider les investisseurs à décider où investir en fournissant plus d’informations sur le sérieux avec lequel une entreprise prend en compte les risques de cybersécurité.
Les entreprises qui peuvent partager des détails sur leur processus de suivi des cyber-risques, comme la façon dont elles créent et suivent les scores de cyber-risque au fil du temps, tout en créant un processus simple et reproductible pour rendre compte à leur conseil d’administration des risques de cybersécurité et l’y impliquer, peuvent se différencier aux yeux des investisseurs.
La SEC cherche à harmoniser les entreprises qui fournissent suffisamment de données pour informer les investisseurs sans « augmenter la vulnérabilité d’une entreprise aux cyberattaques… pour éviter d’exiger la divulgation des types de détails opérationnels susceptibles d’être utilisés comme armes par les acteurs malveillants ».
Le Federal Register indique que les règles sont entrées en vigueur le 5 septembre 2023.
Nouvelles règles clés de la SEC en matière de cybersécurité
Examinez les nouvelles règles avec les responsables de la sécurité, ainsi qu’avec les équipes d’audit et financières qui gèrent les dossiers, pour créer un processus permettant de respecter le délai de quatre jours en cas d’événement important.
Assurez-vous que votre entreprise sait parfaitement comment déterminer quand un événement de cybersécurité atteint le seuil le qualifiant « d’important ».
Les responsables de la sécurité doivent rédiger leur description du processus de compréhension et d’évaluation des cyber-risques. Il peut s’agir d’outils de gestion des cyber-risques, des risques que ces outils traitent (par exemple, la surface d’attaque externe ou le risque de perte de données) et des processus suivis par leurs équipes pour atténuer les risques identifiés.
Les responsables de la sécurité et de l’audit doivent travailler avec le conseil d’administration pour créer un processus, s’il n’en existe pas déjà un, définissant la manière dont le conseil prévoit de superviser les cyber-risques. Il peut s’agir de faire de la cybersécurité un sujet permanent dans les rapports d’activité trimestriels pour examiner les scores de risque, les principaux facteurs de risque, les mesures d’atténuation et les investissements nécessaires.
Les responsables de la sécurité doivent identifier et interroger les membres du conseil d’administration possédant une expertise en cybersécurité pour capturer et partager les documents annuels et les procurations.
Risk360 : Comment Zscaler envisage le cyber-risque
Zscaler Risk360™ est un cadre de risque complet et exploitable qui fournit une quantification puissante du cyber-risque en ingérant des données réelles provenant de l’environnement Zscaler d’une entreprise. Risk360 propose des visualisations intuitives, des détails sur l’exposition financière et des rapports destinés au conseil d’administration, ainsi que des informations détaillées et exploitables sur les risques de sécurité à utiliser immédiatement à des fins d’atténuation.
Risk360 mesure les cyber-risques dans les domaines clés de la chaîne d’attaque :
Risk360
Passer à l’étape suivante
Demandez à nos experts de vous montrer comment Zscaler Risk360 minimise la surface d’attaque de votre entreprise, empêche les déplacements latéraux et élimine le risque de perte de données.