Les considérations environnementales, sociales et de gouvernance (ESG) ne sont pas des sujets nouveaux lorsqu'il s'agit de rapports de conformité pour les entreprises de services financiers, mais l'impact des failles de cybersécurité sur la composante de gouvernance gagnera bientôt en visibilité pour les organisations financières et non financières. . Qu'il s'agisse de résoudre les problèmes de confidentialité, les pertes financières des rançongiciels ou la continuité des activités du point de vue de la gouvernance, les cybermenaces placent les discussions ESG au premier plan des réunions du conseil d'administration et des discussions de la suite C dans le monde entier.
Les changements de reporting auxquels les entreprises américaines sont confrontées pourraient s'étendre considérablement en raison des récentes modification des règles du président de la Securities and Exchange Commission, Gary Gensler. Des exigences en matière de rapports sur la gouvernance de la cybersécurité similaires à celles relatives à l'audit et aux rapports financiers figurant dans la loi Sarbanes-Oxley de 2002 (SOX) seraient un élément clé de la nouvelle réglementation.
Les exigences de gouvernance SOX visent à aider à protéger les investisseurs contre les rapports financiers frauduleux des entreprises, tandis que la gouvernance de la cybersécurité est conçue pour améliorer les rapports sur les cyberattaques nouvelles et passées. Les politiques et procédures existantes en matière de gouvernance d'entreprise, de gestion des risques et de conformité (GRC) ne seront pas suffisantes pour répondre à ces règles.
Alla Valente, analyste senior chez Forrester, qualifie les modifications proposées de la réglementation SEC de "Sarbanes-Oxley light". Les règles proposées stipulent que les entreprises doivent déclarer Matériel incidents de cybersécurité dans les quatre jours suivant leur identification, note-t-elle. Le problème est que le « matériel » n'est pas défini et varie selon l'industrie, de sorte que les entreprises doivent deviner quand l'horloge commence à signaler les incidents. Cela pourrait entraîner à la fois une surdéclaration et une sous-déclaration des cyberincidents, dit-elle.
La pression dicte les mesures de cybersécurité
Le respect des règles proposées pourrait également avoir un impact direct sur la capacité d'une entreprise à obtenir une cyberassurance, note Valente. Malgré le courant chaos sur le marché de la cyberassurance qui fait grimper les prix et baisser la couverture tandis que les cyber-assureurs réduisent leurs stocks, ces changements de règles peuvent potentiellement augmenter encore la pression sur les entreprises pour qu'elles mettent en œuvre des contrôles de cybersécurité qu'elles n'auraient peut-être pas mis en place pour le moment. Cela nécessiterait également beaucoup plus d'informations sur les violations passées et sur la manière dont elles sont gérées et atténuées.
« Le nouveau rôle de la direction en matière de reporting et de cybergouvernance, et la nouvelle responsabilité des conseils d'administration de faire la lumière sur leur expertise et leur surveillance, entraîneront un examen plus approfondi des programmes de sécurité d'entreprise », déclare Jason Hicks, CISO de terrain au cabinet de conseil en cybersécurité Coalfire.
« Cela met le RSSI sur la sellette », poursuit-il. « Il est également probable que les conseils d'administration essaieront d'ajouter des cadres ayant une expérience en cybersécurité à leur équipe. Compte tenu du petit nombre de personnes qualifiées disponibles, je pouvais également voir des conseils d'administration embaucher leurs propres consultants pour les conseiller sur les risques de cybersécurité et la pertinence du programme de sécurité de l'entreprise.
"Tous ces domaines devront être pris en compte dans la partie gouvernance de votre approche ESG", ajoute Hicks. "La direction est déjà responsable de la gestion des risques de cybersécurité, donc cela ne crée pas une toute nouvelle classe de responsabilité, bien qu'elle apporte plusieurs changements à la charge et à la complexité."
Les transnationales prennent l'initiative
Hicks note que la façon dont les organisations perçoivent la transparence et les normes culturelles des environnements d'exploitation d'une entreprise peuvent jouer sur la façon dont elles réagissent. "Les multinationales doivent équilibrer leur approche compte tenu des différentes approches à l'échelle mondiale."
Valente est d'accord. Les Européens ont tendance à être plus proactifs dans la défense contre les violations de données que les entreprises américaines. Le changement de règles pourrait obliger les organisations nationales à être plus proactives, en particulier en ce qui concerne la gestion des risques tiers, un contrôle de sécurité clé.
«Une fois que cela deviendra définitif, nous verrons un effort pour être proactif. Certaines [organisations] suivront la lettre de la loi et pourraient réussir à court terme, mais marginalement », déclare Valente. « D'autres suivront l'esprit de la loi et l'utiliseront comme un moyen d'améliorer, de diversifier et d'intégrer cette gestion proactive des risques [de tiers] à leur identité. Ce sera ancré dans leur ADN d'entreprise. Ce sont les organisations qui vont vraiment prospérer grâce à cela.
Les entreprises peuvent se lancer
Steven Yadegari, PDG de la société de conseil en investissement FiSolve et ancien avocat général du cabinet d'avocats Cramer Rosenthal McGlynn, a déclaré que les membres du conseil d'administration rechercheraient des rapports spécifiques sur la cybersécurité. Cela comprendra des rapports trimestriels axés sur la cybersécurité et des réunions avec des personnes chargées de la surveillance du domaine, telles que le CISO, qui dirige l'effort.
« Les nouvelles règles exigeraient des évaluations formelles des risques, des contrôles spécifiques, des mesures de surveillance et un système de signalement des incidents. Dans la mesure où certains de ces domaines ne sont pas abordés dans les programmes existants, les conseils voudront comprendre comment les gestionnaires entendent se conformer à ces exigences potentielles. Ces conversations devraient être en cours et ne devraient pas attendre l'adoption de nouvelles règles », a déclaré Yadegari.
Aujourd'hui, de nombreuses entreprises gèrent plus attentivement leurs fournisseurs et surveillent leurs politiques et procédures, note-t-il. Cela est particulièrement vrai pour les prestataires de services tiers et les fournisseurs susceptibles d'être en contact avec les informations sensibles d'une entreprise.
"Il incombe aux entreprises de s'assurer qu'elles disposent d'un programme de cybersécurité et d'un programme de gestion des risques tiers (TPRM) solides, qui à leur tour rassureront les entreprises qui comptent sur leurs services", a déclaré Yadegari.
Bien que le libellé final des modifications proposées aux règles de la SEC n'ait pas encore été rendu public, le libellé proposé peut être trouvé ici.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
