Ce que veulent les clients et ce qu'exigent les régulateurs - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ce que veulent les clients et ce qu'exigent les régulateurs

En tant qu'objectif de contrôle pour le secteur, la Securities and Exchange Commission (SEC) des États-Unis examine l'équité de la transaction, pour l'acheteur et pour la société cible, afin de s'assurer qu'il n'y a pas de transaction forcée, de fraude ou d'évasion de la responsabilité réglementaire.

En conséquence, les directives de la SEC stipulaient que les entreprises devraient envisager de divulguer des informations importantes sur les cyberrisques, non seulement en termes généraux, mais également sur une incident-by-incident base. La SEC a suggéré qu'une société, lorsqu'elle détermine les contours de ses informations à fournir, tienne compte des facteurs suivants :

  • Fréquence et gravité des cyberincidents antérieurs

  • Probabilité de survenance d'incidents cybernétiques ; coûts et conséquences potentiels (par exemple, détournement d'actifs ou d'informations sensibles, corruption de données ou interruption des opérations)

  • Adéquation des mesures préventives prises

  • Niveau de risque lié aux menaces d'attaques

La SEC a également suggéré que les entreprises, dans leurs dossiers d'entreprise, pourraient vouloir divulguer les informations suivantes, en fonction de leur situation et de leur importance :

  • Aspects de l'activité ou des opérations du déclarant qui présentent des risques importants en matière de cybersécurité et les coûts et conséquences potentiels

  • Descriptions de toutes les fonctions externalisées susceptibles de présenter des risques importants en matière de cybersécurité et de la manière dont le déclarant gère ces risques

  • Descriptions des cyberincidents subis par le déclarant qui sont importants, individuellement ou globalement, y compris le coût de l'incident et de la réponse, y compris l'enquête, les sanctions et les règlements

  • Risques liés aux cyberincidents susceptibles de passer inaperçus pendant une période prolongée

  • Description de la couverture de la police d'assurance contre les cyberrisques ou de tout accord de transfert de risques pertinent

La SEC applique les règles applicables aux courtiers et aux conseillers en investissement enregistrés auprès de la SEC, qui sont tenus de protéger les données des clients et de garantir l'exactitude des informations relatives à la cybersécurité. Bien qu'il n'existe aucune règle explicite de la SEC pour les entreprises qui ne respectent pas les directives, le processus de fusions-acquisitions et de cession deviendra très coûteux et long dans ces cas, en particulier si la société vendeuse a été confrontée à un cyberincident et n'a pas divulgué les risques, ou si le cours de son action a changé. La National Association of Corporate Directors (NACD) recommande à la direction de conserver une expertise juridique et thématique externe pour ses plans de réponse aux incidents, et de recevoir régulièrement des mises à jour. Pour plus d'informations, voir la série de manuels du directeur sur la surveillance des risques informatiques (NACD, 2017).