En 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté denouvelles règles et modificationsvisant à améliorer et à normaliser les informations relatives à la gestion des risques de cybersécurité, à la stratégie, à la gouvernance et au signalement des incidents par les entreprises publiques. La publication de la SEC note que les risques de cybersécurité ont récemment augmenté pour diverses raisons, notamment la dépendance croissante des entreprises à l'égard de fournisseurs de services tiers pour les services informatiques et le nombre croissant d'incidents imputables à des fournisseurs de services.
Ces nouvelles règles sont entrées en vigueur en décembre 2023, et nous commençons à voir les effets de leur non-respect. La SEC a annoncé des mesures d'exécution à l'encontre de quatre sociétés de logiciels pour avoir fait des déclarations trompeuses sur les risques et les incidents de cybersécurité liés à la brèche de 2020 dans le système SolarWinds. En minimisant l'impact de cette brèche sur leurs systèmes, les régulateurs ont estimé que ces entreprises avaient enfreint les lois fédérales sur les valeurs mobilières, et l'une d'entre elles a également été accusée d'avoir mis en place des contrôles inadéquats en matière de divulgation.
Ces récentes accusations renforcent l'importance cruciale d'une gestion solide des risques de cybersécurité dans le cadre des programmes de gestion des risques par des tiers (TPRM). Voici quelques-unes des principales implications à souligner :
Les organisations devraient réévaluer et renforcer leurs programmes de gestion des risques liés aux tiers, afin de s'assurer qu'elles peuvent gérer et divulguer efficacement les risques liés à la cybersécurité. Ce faisant, elles peuvent mieux protéger leur réputation, maintenir la confiance des investisseurs et atténuer les répercussions juridiques et financières potentielles.
Se conformer aux dernières règles de divulgation de la SEC en matière de cybersécurité
Ce guide est idéal pour tout professionnel de la sécurité, de la conformité ou de la gestion des risques qui doit préparer son organisation à répondre aux dernières exigences de la SEC.
Pour aider les entreprises publiques à répondre à ces nouvelles exigences, Prevalent a créé une évaluation en 9 questions pour la communauté de la sécurité et de la gestion des risques. L'évaluation permet de
Questions | Choix de réponses |
---|---|
1) L'organisation a-t-elle établi un processus formel de gestion des incidents de cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, un processus formel de gestion des incidents de cybersécurité a été élaboré. b) Non, un processus formel de gestion des incidents de cybersécurité n'a pas été élaboré. |
2) L'organisation divulguerait-elle les informations suivantes concernant un incident de cybersécurité important ? |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Quand l'incident a été découvert et s'il est en cours. b) Une brève description de la nature et de la portée de l'incident. c) si des données ont été volées, modifiées, consultées ou utilisées à toute autre fin non autorisée. d) L'effet de l'incident sur les activités du déclarant. e) si le déclarant a remédié ou est en train de remédier à l'incident. |
3) Après l'identification d'un incident de cybersécurité, l'impact matériel et l'impact potentiel sur les opérations et la situation financière sont-ils enregistrés et divulgués ? |
Veuillez choisir l'une des options suivantes : a) Oui, l'impact matériel et potentiel sur les conditions opérationnelles et financières est enregistré. b) Non, l'impact sur les conditions opérationnelles et financières n'est pas enregistré ni divulgué. |
4) Les divulgations d'incidents de cybersécurité comprennent-elles les mesures correctives prises et les changements de politique ou de procédure apportés à la suite de ces incidents ? Texte d'aide : Toute modification des politiques et procédures du déclarant à la suite d'un incident de cybersécurité doit être enregistrée. |
Veuillez choisir l'une des options suivantes : a) Oui, des mesures correctives sont prises et les modifications apportées à la politique ou aux procédures sont divulguées. b) Non, les mesures correctives ne sont pas prises et les changements de politique ou de procédures ne sont pas divulgués. |
5) L'organisation dispose-t-elle d'un programme d'évaluation des risques en matière de cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, un programme d'évaluation des risques en matière de cybersécurité a été élaboré. b) Non, un programme d'évaluation des risques en matière de cybersécurité n'a pas été élaboré. |
6) L'organisation a-t-elle mis en place des politiques et des procédures pour superviser et identifier les risques de cybersécurité liés à son recours à des prestataires de services tiers ? |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Un ensemble de politiques et de procédures pour la gestion des risques associés aux prestataires de services tiers est établi. b) Les résultats des évaluations des risques soutiennent la décision de sélection et de surveillance des prestataires de services tiers. c) Les risques liés à l'utilisation de prestataires de services tiers sont pris en compte et les contrôles de sécurité et de confidentialité sont définis dans les contrats avec les tiers. |
7) Les résultats des évaluations des risques en matière de cybersécurité sont-ils pris en compte dans les décisions relatives aux politiques et procédures de gouvernance, aux technologies et aux stratégies commerciales ? |
Veuillez choisir l'une des options suivantes : a) Oui, les résultats des évaluations des risques de cybersécurité sont pris en compte lors de l'examen des politiques et procédures de gouvernance, des technologies et des stratégies commerciales. b) Non, les résultats des évaluations des risques de cybersécurité ne sont pas pris en compte lors de l'examen des politiques et procédures de gouvernance, des technologies et des stratégies commerciales. |
8) La direction, le conseil d'administration ou le comité désigné de l'organisation sont-ils responsables de la surveillance des risques liés à la cybersécurité ? |
Veuillez choisir l'une des options suivantes : a) Oui, la direction, le conseil d'administration ou un comité désigné est responsable des risques liés à la cybersécurité. b) Aucun groupe ou comité désigné n'assume la responsabilité globale des risques liés à la cybersécurité. |
9) Veuillez indiquer comment le conseil d'administration et la direction reçoivent des informations sur les risques liés à la cybersécurité. |
Veuillez sélectionner tous les éléments qui s'appliquent. a) Le conseil d'administration et la direction sont fréquemment informés des risques liés à la cybersécurité. b) Les risques de cybersécurité sont pris en compte dans le cadre de la stratégie commerciale, de la gestion des risques et de la planification de la surveillance financière. |
Un programme de gestion des risques des tiers bien gouverné comprend des processus et des technologies qui permettent d'identifier, de trier et de remédier aux risques tout au long du cycle de vie des tiers. Voici quelques bonnes pratiques à prendre en compte lors de l'évaluation de votre programme de gouvernance des tiers:
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à répondre aux exigences de déclaration de la SEC, téléchargez notre liste de contrôle des règles de divulgation de la cybersécurité de la SEC. Ou contactez-nous pour planifier une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024