Demandez une démo
Suivi financier de la réputation de Hero

Conformité aux règles de divulgation de la cybersécurité de la SEC des États-Unis

Simplifier l'évaluation des risques par des tiers par rapport aux exigences de déclaration à la SEC

En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté de nouvelles règles et modifications visant à améliorer et à normaliser les informations relatives à la gestion des risques de cybersécurité, à la stratégie, à la gouvernance et au signalement des incidents par les entreprises publiques.

La publication de la SEC note que les risques de cybersécurité ont récemment augmenté pour diverses raisons, notamment la dépendance croissante des entreprises à l'égard de prestataires de services tiers pour les services informatiques et le nombre croissant d'incidents de cybersécurité impliquant des prestataires de services tiers.

Les nouveaux amendements et les nouvelles exigences en matière de rapports sont officiellement entrés en vigueur le 18 décembre 2023.

Conditions applicables

  • Divulguer des informations sur un incident de cybersécurité important dans les quatre jours ouvrables suivant le moment où l'entreprise détermine que l'incident est important.

  • Fournir des informations actualisées sur les incidents de cybersécurité déjà divulgués lorsqu'ils deviennent globalement significatifs.

  • Expliquer le rôle de la direction dans la gouvernance de la cybersécurité

Se conformer aux dernières règles de divulgation de la SEC en matière de cybersécurité

Ce guide est idéal pour tout professionnel de la sécurité, de la conformité ou de la gestion des risques qui doit préparer son organisation à répondre aux dernières exigences de la SEC.

Lire la suite
Liste de contrôle de la cybersécurité de Feature sec

Répondre aux exigences de la SEC en matière de divulgation de la cybersécurité

Les règles et amendements de la SEC ont été introduits en réponse à un manque de cohérence dans les rapports d'incidents de cybersécurité des entreprises publiques, ce qui peut éroder la confiance des investisseurs. Le tableau ci-dessous résume les principales exigences en matière de gestion des risques par des tiers et de divulgation des incidents afin de restaurer cette confiance.

REMARQUE : ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner l'intégralité des exigences de la SEC en consultation avec leurs auditeurs.

Amendements Quelle aide nous apportons

Déclaration des incidents de cybersécurité sur formulaire 8-K
Point 1.05

"Décrire les aspects importants de la nature, de la portée et du moment de l'incident, ainsi que l'impact important ou l'impact important raisonnablement probable sur le déclarant, y compris sa situation financière et ses résultats d'exploitation.

Prevalent permet à votre équipe d'identifier rapidement les incidents de sécurité de fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact, dans le cadre de votre stratégie plus large de gestion des incidents.

Outre nos solutions de plate-forme SaaS, Prevalent propose un service géré dans le cadre duquel nos experts gèrent vos fournisseurs de manière centralisée, procèdent à des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent des corrélations avec la surveillance continue de cyber et fournissent des conseils sur les mesures correctives, tout cela en votre nom.

Les capacités clés comprennent :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Prevalent permet également d'accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent .

Divulgation des incidents de cybersécurité dans les rapports périodiques : Mises à jour des informations précédemment déposées sur le formulaire 8-K

"Divulguer les informations qui auraient été initialement déclarées sur le formulaire 8-K si elles avaient été connues ou disponibles au moment de la divulgation initiale".

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique de violations de données pour des milliers d'entreprises à travers le monde.
    Prevalent intègre également des données commerciales, financières et de réputation pour ajouter du contexte aux conclusions de cyber et mesurer l'impact des incidents dans le temps.

Divulgation de la stratégie et de la gestion des risques de cybersécurité d'un déclarant

Point 106(b) du règlement S-K

"Si et comment les processus de cybersécurité décrits dans la rubrique 106(b) ont été intégrés dans le système ou les processus globaux de gestion des risques du déclarant"

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risques et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairs (par exemple, RACI)
  • Inventaires de tiers
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de la quatrième partie
  • Sources des données de contrôle continu (cyber, business, réputation, financier)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

"Le déclarant engage-t-il des évaluateurs, des consultants, des auditeurs ou d'autres tiers dans le cadre de ces processus ?

Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent et sont soutenues par des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Plus important encore, Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir des preuves appropriées aux auditeurs.

La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies à partir des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser et de traiter rapidement les exigences de conformité importantes et d'ajuster votre programme en conséquence - y compris l'acceptation ou non des risques résiduels.

Pour les organisations dont les ressources et l'expertise sont limitées, Prevalent peut gérer le cycle de vie du risque lié aux tiers en votre nom, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils sur les mesures correctives et l'établissement de rapports sur les accords de niveau de service contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge du personnel interne.

"Si le déclarant dispose de processus de surveillance et d'identification des risques importants liés aux menaces de cybersécurité associées à son utilisation d'un fournisseur de services tiers.

Prevalent vous permet d'évaluer et de surveiller vos tiers en fonction de l'ampleur des menaces qui pèsent sur vos actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents pour tous les tiers. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation.

Divulgation du rôle de la direction et du conseil d'administration d'un déclarant en matière de gouvernance de la cybersécurité

Points 106(c)(1) et 106(c)(2) du règlement S-K

" Les processus par lesquels le conseil d'administration est informé des risques de cybersécurité, et la fréquence de ses discussions sur ce sujet ; et ....

"Les processus par lesquels ces personnes ou comités sont informés de la prévention, de la détection, de l'atténuation et de la correction des incidents de cybersécurité et en assurent le suivi ....

"La question de savoir si ces personnes ou comités communiquent des informations sur ces risques au conseil d'administration ou à un comité ou sous-comité du conseil d'administration.

Prevalent fournit un cadre permettant de mesurer de manière centralisée les KRI des tiers par rapport à vos exigences et de réduire les lacunes en matière de surveillance des fournisseurs grâce à des informations intégrées d'apprentissage automatique (ML) et à des rapports personnalisables basés sur les rôles.

Ces capacités peuvent aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut de risque d'un tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

Prevalent améliore également l'efficacité en mettant les bonnes données entre les bonnes mains au bon moment. Les destinataires des rapports peuvent ainsi déterminer rapidement l'acceptabilité des risques et prendre des décisions en toute confiance, quel que soit leur niveau de compétence.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité
Ressources disponibles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo