Nouvelles réglementations en matière de cybersécurité pour les entreprises américaines
En 2021, un utilisateur américain sur deux a vu son compte piraté et 53,35 millions de personnes ont été victimes de cybercriminalité rien qu'au cours du premier semestre 2022. Il est à savoir qu’aux États-Unis, neuf entreprises sur dix ne sont pas assurées contre les cyberattaques.
La U.S. Securities and Exchange Commission (SEC) reconnaît qu'à mesure que les entreprises se mondialisent et se complexifient, les menaces à la cybersécurité de plus en plus sophistiquées et élaborées vont se multiplier sous la forme d’intrusions, d’attaques par déni de service, de fautes professionnelles et d’abus de la part de personnes internes à l'entreprise. Pour résumer, les cybermenaces représentent un risque considérable pour les entreprises américaines et il est nécessaire de prendre des mesures pour les protéger.
Pour remédier à cette situation, la SEC a proposé de nouvelles réglementations en matière de cybersécurité. Celles-ci viseront à renforcer la protection et à atténuer les cyber-risques. Les organisations devront également procéder à des changements fondamentaux pour faire face aux risques qui menacent la cybersécurité au sein de leur entreprise.
A qui s’adressent les nouvelles réglementations en matière de cybersécurité ?
Selon la SEC, les nouvelles exigences affecteront les organisations suivantes :
Courtiers négociants
Agences de compensation
Major security-based swap participants (des personnes qui maintient une « position substantielle » sur des swaps, ou des swaps basés sur la sécurité)
Le Municipal Securities Rulemaking Board
Associations nationales de valeurs mobilières
Bourses nationales de valeurs mobilières
Security-based swap data repositories (des personnes référentes en matière de données liées aux swaps les basés sur la sécurité)
Security Based Swap Dealers (SBSD)
Agents de transfert (collectivement, les « Entités du marché »).
Quelles sont les propositions de réglementations en matière de cybersécurité ?
1. Signalement des incidents
Les Entités du marché (les entreprises concernées) devront signaler rapidement les incidents touchant à la cybersécurité. Il s'agit notamment des violations importantes susceptibles d'avoir un impact sur les investisseurs ou, plus généralement, sur le marché. Cette obligation de déclaration vise à améliorer la transparence et à garantir que les entreprises agissent rapidement lorsqu'elles fournissent des informations essentielles. Les Entités du marché informeront la SEC par voie électronique de tout incident important en matière de cybersécurité.
2. Politiques et procédures de cybersécurité
Les réglementations prévoient également que les entreprises établissent et maintiennent des politiques et des procédures complètes en matière de cybersécurité. Il s'agit notamment de mettre en œuvre des mesures de sauvegarde pour protéger les données sensibles, de procéder régulièrement à des évaluations des risques et d'élaborer des plans d'intervention en cas d'incident. Les Entités du marché devront également revoir et évaluer la conception et l'efficacité de leurs politiques de cybersécurité au moins une fois par an, afin de s'assurer qu'elles reflètent toujours les changements et l'évolution des cybermenaces.
3. Responsabilité du RSSI
Les entreprises devront nommer un responsable de la sécurité des systèmes d'information (« RSSI » ; en anglais, Chief Information Security Officer (« CISO »)) qui sera chargé de superviser et de mettre en œuvre les politiques de cybersécurité.
Pourquoi des réglementations sur la cybersécurité sont-elles mises en place ?
En raison de la fréquence et de la gravité des cybermenaces permanentes, les incidents affectent gravement les marchés commerciaux. La SEC souhaite montrer aux investisseurs, aux assureurs et aux acteurs du marché que les entreprises sont « adaptées à l'ère numérique ». Les États-Unis veulent assurer une meilleure protection des investisseurs afin qu'ils ne soient pas dissuadés d'investir sur le marché américain. À ce titre, certaines entreprises seront tenues d'appliquer les normes de protection requises contre les cybermenaces susceptibles de compromettre la valeur des entreprises et de les rendre vulnérables à l'exposition des données.
La Commission européenne a récemment annoncé son projet de règlement sur la cybersolidarité, qui vise à protéger l'Union européenne contre les menaces croissantes de cyberattaques. En comparaison, les États-Unis ont une motivation légèrement différente pour améliorer la protection de la cybersécurité. Cependant, force est de constater que les pays du monde entier ont pris conscience du rôle essentiel de la cybersécurité pour la productivité et la rentabilité des entreprises, ainsi que pour la protection des droits individuels.
5 façons dont les nouvelles réglementations peuvent affecter les entreprises américaines
La proposition de la SEC concernant les règlementations sur la cybersécurité peut affecter les entreprises américaines de la manière suivante :
1. Augmentation des ressources allouées à la cybersécurité
Les entreprises devront trouver des moyens d'élaborer des politiques et des procédures de cybersécurité solides pour se conformer aux règlementations. Cela peut impliquer le recours à des experts spécialisés en cybersécurité pour les conseiller et les aider à élaborer des politiques et à introduire des cyberprotections dans la vie quotidienne de l'entreprise. Il peut également s'agir de former le personnel pour qu'il soit conscient des menaces et d'avoir un avocat spécialisé dans le numérique à portée de main pour comprendre les exigences légales. Les entreprises devront également investir dans des technologies de pointe en matière de cybersécurité, procéder à des évaluations régulières des risques et mettre en place des plans d'intervention en cas d'incident.
2. Obligations de déclaration
Les règlementations imposeront des charges administratives supplémentaires aux entreprises, dans la mesure où elles auront l'obligation de signaler rapidement les incidents liés à la cybersécurité. Il est donc important que les entreprises disposent d'un personnel spécialisé chargé de surveiller les risques et d'agir rapidement en cas de menace.
3. Réputation des entreprises
Les cybermenaces peuvent avoir un impact financier important sur une entreprise et ternir sa réputation auprès de ses clients. La SEC exigera des entreprises qu'elles publient des informations sur leurs mesures de protection en matière de cybersécurité, ce qui permettra aux investisseurs de bénéficier d'une plus grande transparence. La réputation des entreprises s'en trouvera inévitablement améliorée, car elles seront considérées comme plus fiables et dignes de confiance, ce qui permettra aux investisseurs de se sentir plus à l'aise. À l'avenir, il se pourrait que les entreprises soient en mesure d'acquérir un avantage concurrentiel sur leurs rivales en adoptant une politique de cybersécurité plus transparente et plus efficace.
4. Responsabilités juridiques et financières
Les entreprises seront massivement touchées si elles ne se conforment pas aux règlementations proposées. La non-conformité avec celles-ci pourrait entraîner des responsabilités juridiques et des sanctions financières.
5. Contrôles des risques liés aux tiers
La SEC reconnaît que de nombreuses cybermenaces peuvent être causées par des partenaires commerciaux tels que des fournisseurs tiers ou des personnes appartenant à la chaîne d'approvisionnement d'une entreprise. Les faiblesses des entreprises tierces, telles que les fournisseurs ou les parties prenantes, peuvent avoir un impact sur les entreprises connectées. Par exemple, si une entreprise subit une violation de données ou est victime d'une attaque de ransomware, les entreprises avec lesquelles elle travaille peuvent également être mises en danger, car leurs données peuvent être divulguées ou les informations sur leurs clients peuvent être violées.
Ainsi, les entreprises peuvent être amenées à renforcer leurs stratégies de gestion des risques liés aux tiers afin de s'assurer que les autres entreprises avec lesquelles elles travaillent disposent des protections adéquates. Il pourrait s'agir d'une étape supplémentaire dans le processus d'évaluation des risques.
Comment Gerrish Legal peut vous aider ?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là vous vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Paralegal / Consultante, pour Gerrish Legal