Règles de divulgation de la SEC en matière de cybersécurité : 9 questions clés à poser aux tiers
En 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté denouvelles règles et modificationsvisant à améliorer et à normaliser les informations relatives à la gestion des risques de cybersécurité, à la stratégie, à la gouvernance et au signalement des incidents par les entreprises publiques. La publication de la SEC note que les risques de cybersécurité ont récemment augmenté pour diverses raisons, notamment la dépendance croissante des entreprises à l'égard de fournisseurs de services tiers pour les services informatiques et le nombre croissant d'incidents imputables à des fournisseurs de services.
Ces nouvelles règles sont entrées en vigueur en décembre 2023, et nous commençons à voir les effets de leur non-respect. La SEC a annoncé des mesures d'exécution à l'encontre de quatre sociétés de logiciels pour avoir fait des déclarations trompeuses sur les risques et les incidents de cybersécurité liés à la brèche de 2020 dans le système SolarWinds. En minimisant l'impact de cette brèche sur leurs systèmes, les régulateurs ont estimé que ces entreprises avaient enfreint les lois fédérales sur les valeurs mobilières, et l'une d'entre elles a également été accusée d'avoir mis en place des contrôles inadéquats en matière de divulgation.
Implications des règles de divulgation de la SEC en matière de cybersécurité sur la gestion des risques par des tiers
Ces récentes accusations renforcent l'importance cruciale d'une gestion solide des risques de cybersécurité dans le cadre des programmes de gestion des risques par des tiers (TPRM). Voici quelques-unes des principales implications à souligner :
- Améliorer les informations sur la cybersécurité: Les organisations doivent fournir des informations transparentes et précises sur leur position en matière de cybersécurité, en particulier en ce qui concerne les risques associés aux fournisseurs tiers. Des informations trompeuses peuvent entraîner des sanctions réglementaires importantes.
- Renforcer les processus de diligence raisonnable: Les entreprises devraient améliorer leurs procédures de diligence raisonnable lors de l'intégration de fournisseurs tiers. Il s'agit notamment d'évaluer les pratiques des fournisseurs en matière de cybersécurité et de s'assurer qu'ils disposent de mesures solides pour atténuer les risques. Il est essentiel de procéder à des évaluations et à des audits réguliers de la conformité des fournisseurs.
- Mettre en œuvre des contrôles et des procédures plus solides: Les organisations doivent mettre en place et maintenir des contrôles internes efficaces pour signaler les incidents de cybersécurité. Veillez à signaler rapidement et précisément toutes les violations impliquant des fournisseurs tiers et à établir des protocoles de communication clairs.
- Procéder à une évaluation complète des risques liés aux fournisseurs: Les entreprises doivent évaluer les risques associés à chaque fournisseur en fonction de ses capacités en matière de cybersécurité. En classant les fournisseurs par niveau de risque, les entreprises peuvent adapter leurs stratégies de gestion des risques et imposer des exigences plus strictes en matière de cybersécurité aux fournisseurs présentant un risque plus élevé.
- Assurer une formation et une sensibilisation continues: Les organisations doivent proposer à leurs employés des programmes réguliers de formation et de sensibilisation à l'importance d'une information exacte sur la cybersécurité et aux conséquences d'une information trompeuse. Le personnel doit comprendre les obligations légales liées aux risques de cybersécurité et l'importance de la transparence.
- Élaborer de solides plans de réponse aux incidents: Les entreprises doivent élaborer des plans de réponse aux incidents efficaces qui incluent les fournisseurs tiers. Veillez à ce que ces plans traitent des violations potentielles par le biais de canaux tiers, en décrivant les stratégies de communication et les protocoles d'escalade.
- Rester en conformité avec les exigences réglementaires: Les organisations doivent rester vigilantes face à l'évolution des attentes réglementaires en matière de cybersécurité. Les mesures prises par la SEC indiquent une tendance à l'intensification de la surveillance réglementaire, ce qui rend crucial le respect des lois et des lignes directrices applicables.
Les organisations devraient réévaluer et renforcer leurs programmes de gestion des risques liés aux tiers, afin de s'assurer qu'elles peuvent gérer et divulguer efficacement les risques liés à la cybersécurité. Ce faisant, elles peuvent mieux protéger leur réputation, maintenir la confiance des investisseurs et atténuer les répercussions juridiques et financières potentielles.
Se conformer aux dernières règles de divulgation de la SEC en matière de cybersécurité
Ce guide est idéal pour tout professionnel de la sécurité, de la conformité ou de la gestion des risques qui doit préparer son organisation à répondre aux dernières exigences de la SEC.
Répondre aux règles actualisées de divulgation de la cybersécurité de la SEC grâce à cette évaluation par un tiers
Pour aider les entreprises publiques à répondre à ces nouvelles exigences, Prevalent a créé une évaluation en 9 questions pour la communauté de la sécurité et de la gestion des risques. L'évaluation permet de
- Déterminer l'étendue de la gestion des incidents de cybersécurité par des tiers
- Identifier comment les tierces parties rendent compte des impacts opérationnels des incidents cyber
- Examiner les programmes d'évaluation et d'identification des risques liés à la cybersécurité des tiers.
- Clarifier les mesures correctives prises dans le cadre de la réponse à un incident de cybersécurité
- Révéler le niveau de contrôle de la direction sur les incidents de cybersécurité impliquant des tiers
| Questions | Choix de réponses |
|---|---|
|
1) L'organisation a-t-elle établi un processus formel de gestion des incidents de cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, un processus formel de gestion des incidents de cybersécurité a été élaboré. b) Non, un processus formel de gestion des incidents de cybersécurité n'a pas été élaboré. |
|
2) L'organisation divulguerait-elle les informations suivantes concernant un incident de cybersécurité important ? |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Quand l'incident a été découvert et s'il est en cours. b) Une brève description de la nature et de la portée de l'incident. c) si des données ont été volées, modifiées, consultées ou utilisées à toute autre fin non autorisée. d) L'effet de l'incident sur les activités du déclarant. e) si le déclarant a remédié ou est en train de remédier à l'incident. |
|
3) Après l'identification d'un incident de cybersécurité, l'impact matériel et l'impact potentiel sur les opérations et la situation financière sont-ils enregistrés et divulgués ? |
Veuillez choisir l'une des options suivantes : a) Oui, l'impact matériel et potentiel sur les conditions opérationnelles et financières est enregistré. b) Non, l'impact sur les conditions opérationnelles et financières n'est pas enregistré ni divulgué. |
|
4) Les divulgations d'incidents de cybersécurité comprennent-elles les mesures correctives prises et les changements de politique ou de procédure apportés à la suite de ces incidents ? Texte d'aide : Toute modification des politiques et procédures du déclarant à la suite d'un incident de cybersécurité doit être enregistrée. |
Veuillez choisir l'une des options suivantes : a) Oui, des mesures correctives sont prises et les modifications apportées à la politique ou aux procédures sont divulguées. b) Non, les mesures correctives ne sont pas prises et les changements de politique ou de procédures ne sont pas divulgués. |
|
5) L'organisation dispose-t-elle d'un programme d'évaluation des risques en matière de cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, un programme d'évaluation des risques en matière de cybersécurité a été élaboré. b) Non, un programme d'évaluation des risques en matière de cybersécurité n'a pas été élaboré. |
|
6) L'organisation a-t-elle mis en place des politiques et des procédures pour superviser et identifier les risques de cybersécurité liés à son recours à des prestataires de services tiers ? |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Un ensemble de politiques et de procédures pour la gestion des risques associés aux prestataires de services tiers est établi. b) Les résultats des évaluations des risques soutiennent la décision de sélection et de surveillance des prestataires de services tiers. c) Les risques liés à l'utilisation de prestataires de services tiers sont pris en compte et les contrôles de sécurité et de confidentialité sont définis dans les contrats avec les tiers. |
|
7) Les résultats des évaluations des risques en matière de cybersécurité sont-ils pris en compte dans les décisions relatives aux politiques et procédures de gouvernance, aux technologies et aux stratégies commerciales ? |
Veuillez choisir l'une des options suivantes : a) Oui, les résultats des évaluations des risques de cybersécurité sont pris en compte lors de l'examen des politiques et procédures de gouvernance, des technologies et des stratégies commerciales. b) Non, les résultats des évaluations des risques de cybersécurité ne sont pas pris en compte lors de l'examen des politiques et procédures de gouvernance, des technologies et des stratégies commerciales. |
|
8) La direction, le conseil d'administration ou le comité désigné de l'organisation sont-ils responsables de la surveillance des risques liés à la cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, la direction, le conseil d'administration ou un comité désigné est responsable des risques liés à la cybersécurité. b) Aucun groupe ou comité désigné n'assume la responsabilité globale des risques liés à la cybersécurité. |
|
9) Veuillez indiquer comment le conseil d'administration et la direction reçoivent des informations sur les risques liés à la cybersécurité. |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Le conseil d'administration et la direction sont fréquemment informés des risques liés à la cybersécurité. b) Les risques de cybersécurité sont pris en compte dans le cadre de la stratégie commerciale, de la gestion des risques et de la planification de la surveillance financière. |
Meilleures pratiques pour la gestion des risques, la gouvernance, la stratégie et la divulgation des incidents en matière de cybersécurité par des tiers
Un programme de gestion des risques des tiers bien gouverné comprend des processus et des technologies qui permettent d'identifier, de trier et de remédier aux risques tout au long du cycle de vie des tiers. Voici quelques bonnes pratiques à prendre en compte lors de l'évaluation de votre programme de gouvernance des tiers:
- Établissez le profil et le niveau de tous les tiers, en obtenant des scores de risque inhérents qui indiquent la probabilité et l'impact d'un incident de cybersécurité et vous permettent de dimensionner correctement les activités de diligence raisonnable en cours.
- Automatiser l'évaluation des risques par des tiers, la notation des risques et les processus de remédiation pour accélérer l'atténuation des risques.
- Contrôler en permanence les risques de cybersécurité chez les tiers et établir une corrélation entre les risques et les résultats de l'évaluation pour valider les conclusions.
- Automatiser les processus de réponse aux incidents pour accélérer la création de rapports et le temps de résolution.
- Simplifier les rapports du conseil d'administration et de la direction pour permettre une prise de décision claire et efficace.
- Comparez continuellement votre programme aux meilleures pratiques acceptées en établissant des rapports de conformité avec plusieurs cadres et réglementations.
Prochaines étapes : Téléchargez la liste de contrôle des règles de divulgation de la cybersécurité de la SEC.
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à répondre aux exigences de déclaration de la SEC, téléchargez notre liste de contrôle des règles de divulgation de la cybersécurité de la SEC. Ou contactez-nous pour planifier une démonstration dès aujourd'hui.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
NIST CSF 2.0 : Implications pour votre programme de gestion des risques liés aux tiers
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
-
Cadre NIST de protection de la vie privée pour la gestion des risques liés aux tiers
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
-
La gestion des risques par des tiers et la règle des garanties de la loi Gramm-Leach-Bliley
Prenez en compte ces bonnes pratiques pour vous assurer que les fournisseurs de services tiers protègent correctement les données NPI de vos clients.
09/04/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo