La Securities and Exchange Commission (SEC), chargée de la régulation des marchés financiers, a révélé une nouvelle règle pour les entreprises cotées aux États-Unis le 26 juillet : elles devront signaler à leurs investisseurs, donc publiquement tout cyberincident « qu’elles jugent important » dans un délai de quatre jours.
La transparence, maître mot de la SEC
« Qu’une entreprise perde une usine dans un incendie – ou des millions de fichiers dans un incident de cybersécurité – cela peut être important pour les investisseurs » a déclaré Gary Gensler, le président de la SEC à l’occasion de l’annonce de cette nouvelle réglementation, votée par 3 voix contre 2.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Les entreprises auront donc quatre jours ouvrables pour faire savoir qu’elles sont victimes d’une cyberattaque. Elles auront également l’obligation de « décrire les aspects importants sur la nature, la portée et le moment de l’incident » décrit la SEC. Seule solution pour gagner quelques jours de délai ? Si le procureur général estime que la divulgation présente un risque pour la sécurité nationale.
Cette nouvelle règle d’un président très actif et réputé très tourné vers la transparence n’a pas été particulièrement bien accueillie. Certaines entreprises jugent qu’une telle obligation pourrait les mettre en péril.
CNBC rapporte que la Securities Industry and Financial Markets Association, un regroupement de sociétés, a écrit à la commission « la SEC appelle à la divulgation publique d’informations considérablement trop nombreuses, trop sensibles et hautement subjectives, à des moments prématurés, sans la déférence requise envers les régulateurs prudentiels des entreprises publiques ou les agences spécialisées en cybersécurité concernée ». En des termes plus mesurés, le Nasdaq a aussi jugé que cette obligation peut aggraver les difficultés des groupes affectés.
Il peut être compliqué pour les autorités, y compris en France, d’avoir des statistiques fiables sur les cyberattaques. Beaucoup d’organisations, privées ou non, préfèrent faire profil bas, craignant d’appâter d’autres cyberassaillants.
Aux États-Unis, c’est seulement l’année dernière qu’une loi a contraint les organismes jugés critiques de signaler une attaque sous trois jours à la Cybersecurity and Infrastructure Security Agency, l’équivalent de l’Agence nationale de la sécurité des systèmes d’information. Les entreprises avancent que la règle de la SEC risque d’entrer en collision avec cette loi.
La réglementation entrera en vigueur 30 jours après une publication dans le registre fédéral. Les groupes étrangers côtés aux États-Unis sont aussi concernés.