Nouvelles règles du SEC américain sur la cybersécurité pour les firmes canadiennes
En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté des règles sur la gestion des risques de cybersécurité, la stratégie, la gouvernance et la divulgation des incidents par les entreprises publiques.
https://www.sec.gov/news/press-release/2023-139
Pour les émetteurs canadiens déclarant sur le formulaire 40-F en vertu du Système de divulgation multijuridictionnelle (MJDS) entre les États-Unis et le Canada, cette décision peut ne pas s'appliquer, mais il est possible que les sociétés canadiennes soient touchées.
J'ai eu le privilège d'en discuter avec Chris Hetner en voici les faits saillants
Chris décompose en deux composantes essentielles la décision de la SEC. La première composante concerne les divulgations centrées sur la cybersécurité dans le formulaire 10-K, en mettant l'accent sur la nécessité pour les entreprises de décrire comment elles supervisent, gèrent et rapportent la cybersécurité au sein de la société. Chris souligne l'importance d'identifier, de contenir, de signaler et de déterminer la matérialité des incidents de cybersécurité, en tenant compte de leurs impacts financiers et opérationnels potentiels. Il insiste sur le fait que les investisseurs sont particulièrement intéressés à comprendre comment les entreprises gèrent les risques liés à la cybersécurité aux côtés d'autres types de risques, tels que les risques financiers et opérationnels. Chris mentionne également l'importance croissante de l'intelligence artificielle et des plateformes d'apprentissage automatique et suggère que la SEC pourrait vouloir s'assurer que les entreprises gèrent adéquatement les risques associés à ces technologies.
Passant à la deuxième partie de la décision de la SEC, Chris explique l'importance du dépôt du formulaire 8-K, qui concerne les incidents résultant d'événements cybernétiques au sein des organisations. Il discute de divers types d'incidents cybernétiques, notamment les erreurs humaines, les attaques étatiques, l'abus interne des données et les attaques par rançongiciels, en soulignant leurs impacts potentiels sur la sécurité des données et la continuité des activités. Chris souligne l'importance pour les entreprises d'avoir des processus en place pour évaluer l'ampleur et la matérialité des événements cybernétiques, impliquant des équipes pluridisciplinaires et des parties prenantes externes telles que le conseiller général et le conseiller externe. Il note que bien que les divulgations actuelles du formulaire 8-K tendent à être qualitatives, les investisseurs sont de plus en plus intéressés à comprendre les implications financières des incidents cybernétiques, telles que les impacts sur les cours des actions, les primes d'assurance, les taux d'attrition des clients et la perte de propriété intellectuelle.
La décision de la SEC ne s'applique pas de la même manière au Canada en raison de la préséance d'un autre système de divulgation, mais des préoccupations surgissent concernant les fournisseurs de services canadiens travaillant pour des entreprises américaines. Chris souligne l'importance de divulguer les incidents cybernétiques pour les fournisseurs canadiens travaillant pour des entreprises américaines cotées en bourse. Il insiste sur la nécessité d'une gestion accrue des risques liés aux fournisseurs, y compris des normes spécifiques telles que les contrôles technologiques et les plans d'intervention en cas d'incident. La coordination avec les entités américaines est cruciale pour déterminer la matérialité des incidents. Chris suggère des exercices et des simulations accrus entre les fournisseurs canadiens et les entreprises américaines pour garantir des processus de réponse synchronisés. Il conclut que ce domaine nécessite plus d'attention et souligne la nécessité de mesures supplémentaires pour aborder les risques de cybersécurité dans l'écosystème des fournisseurs de services.
Chris Hetner est un cadre supérieur, un membre du conseil d'administration et un leader de la cybersécurité reconnu pour avoir élevé le risque cybernétique au niveau du conseil d'administration afin de protéger les industries, les infrastructures et les économies. Il crée une résilience opérationnelle en alignant des stratégies de cybersécurité robustes sur les objectifs de l'entreprise. Le jugement professionnel de M. Hetner, combiné à une perspective de société publique et à une expérience en matière de réglementation de la SEC et de surveillance des investisseurs, lui a permis d'occuper avec succès des fonctions au sein d'entreprises et de gouvernements. Il siège actuellement au conseil d'administration du fonds de capital-investissement TCIG, est conseiller principal du Chertoff Group, conseiller spécial pour le risque cybernétique auprès de la NACD, président de la cybersécurité et de la protection de la vie privée auprès du NASDAQ Center for Board Excellence et membre du conseil national de la Society of Hispanic Professional Engineers.
Il a été conseiller principal en cybersécurité auprès du président de la Securities and Exchange Commission (SEC) des États-Unis et responsable de la cybersécurité au sein de l'Office of Compliance Inspections and Examination (Office des inspections et examens de conformité) de la SEC. Il a également représenté le président de la SEC en tant que membre principal du comité sur l'infrastructure de l'information financière et bancaire du département du Trésor des États-Unis. Parmi ses principales contributions, on peut citer la vision et la mise en œuvre de la première structure de gouvernance en matière de cybersécurité à l'échelle de l'agence, le programme de renseignement sur les menaces et les capacités de réponse aux incidents. Le cadre de cybersécurité qu'il a mis en place a amélioré la capacité du programme national d'examen à surveiller les cyberrisques et les cybermenaces sur l'ensemble du marché américain des valeurs mobilières et à y répondre.
FrançoisM. Tremblay est un Conseiller principal en GRCqui travaille comme consultant en TI depuis 1993. Il s'est distingué, au coursde ses diverses affectations, par son approche et son éthique de travail baséessur l'écoute active et la communication. Ayant travaillé pour de grandes et deplus petites firmes de consultants, il a eu la chance de travailler avec desclients de toutes tailles dans les principaux secteurs d'activités (assurance,gouvernement, santé, technologie, énergie, éducation, manufacturier, etc.)
Toujoursà l'affût des tendances et des technologies émergentes, son objectif principalest de travailler avec l’organisation pour trouver le bon équilibre entre lesrisques et les opportunités, entre la conformité, la fiabilité et la croissancede l'entreprise. Faisant preuve de leadership et d'initiative, il s'efforce declarifier les besoins et de développer des solutions adaptées et pragmatiques.Vif et imaginatif, M. Tremblay est impatient de relever de nouveaux défis.