La Securities and Exchange Commission (SEC) des États-Unis a publié des directives mises à jour le 21 février 2018 sur la façon et le moment où les sociétés ouvertes devraient
Un élément important de l’orientation est l’obligation de divulguer des détails sur l’étendue de la surveillance des risques par le conseil. En particulier, les sociétés doivent divulguer la façon dont le conseil d’administration administre sa fonction de surveillance et l’effet que cela a sur la structure de direction du conseil. Cette exigence souligne l’attente que les conseils d’administration collaborent effectivement avec la direction sur les questions de cybersécurité.
En plus de ce qui précède, on s’attend à ce que les entreprises divulguent des renseignements sur la cybersécurité. Parmi les faits saillants, mentionnons les suivants :
Les entreprises sont encouragées « à adopter des politiques et des procédures complètes liées à la cybersécurité et à évaluer régulièrement leur conformité, y compris la suffisance de leurs contrôles et procédures de divulgation en ce qui concerne la divulgation de la cybersécurité ».
Les lignes directrices énoncent en outre l’exigence selon laquelle les sociétés d’exploitation publique doivent informer les investisseurs des risques et des incidents de cybersécurité en temps opportun. Cela inclut les entreprises qui n’ont pas encore été la cible d’une cyberattaque, mais qui sont soumises à des risques de cybersécurité. Plus précisément, en ce qui concerne les sociétés d’exploitation publiques, la ligne directrice aborde deux sujets qui n’ont pas été développés dans les lignes directrices de 2011 : les politiques et procédures de cybersécurité requises; et l’interdiction de négocier des titres de la société par des initiés de la société qui sont en possession de informations liées aux cyberincidents.
Les directives élargies de la SEC soulignent la réalité incontournable selon laquelle la cybersécurité doit être une priorité pour toutes les entreprises, et en particulier pour les administrateurs.