[ad_1]
(BFM Bourse) – Le gendarme boursier américain a introduit de nouvelles règles pour les sociétés cotées. Elles devront rendre publics les incidents critiques de sécurité informatique dont elles ont été victimes, dans les quatre jours suivant l’événement.
L’an dernier en plein jour férié de l’Assomption, les serveurs du site Damart avaient été visés par une attaque informatique. A la Bourse de Paris, l’action de sa maison-mère Damartex avait alors plongé de 15% après que Le Parisien a révélé l’attaque dans les 10 jours qui ont suivi l’incident. Même de taille relativement modeste, les sociétés cotées ne sont pas épargnées par des attaques informatiques.
Aux Etats-Unis, la menace est prise très au sérieux. La Securities and Exchange Commission (SEC) vient d’introduire de nouvelles règles obligeant les sociétés cotées à déclarer avec précision les incidents de sécurité informatique dont elles ont été victimes. Et le délai sera court: elles devront s’exécuter dans les quatre jours après la découverte de l’incident. Ces nouvelles règles seront applicables à partir du mois de décembre.
« Qu’une entreprise voit son usine détruite dans un incendie ou perde des millions de fichiers dans un incident de cybersécurité, cela peut être important pour les investisseurs », a déclaré Gary Gensler, président de la SEC.
Le gendarme boursier américain enjoint les entreprises cotées à rapporter le moindre incident de cybersécurité dont elles ont été la cible « et à publier chaque année des informations essentielles concernant leur gestion, leur stratégie et leur gouvernance en matière de risques liés à la cybersécurité ».
Les entreprises devront aussi décrire « leurs processus éventuels d’évaluation, d’identification et de gestion des risques importants liés aux menaces de cybersécurité, ainsi que les risques importants ou probables liés aux menaces de cybersécurité et aux incidents de cybersécurité antérieurs ».
Une protection supplémentaire
En appliquant ces nouvelles règles, le gendarme financier américain veut apporter une protection supplémentaire aux investisseurs. « En contribuant à garantir que les entreprises publient des informations importantes sur la cybersécurité, les règles adoptées […] profiteront aux investisseurs, aux entreprises et aux marchés », a justifié le patron de la SEC.
La révélation de ces informations peut toutefois être retardée si le procureur général des États-Unis détermine qu’une diffusion immédiate de cette attaque présenterait un risque substantiel pour la sécurité nationale ou la sécurité publique et qu’il notifie cette décision par écrit à la SEC
Mais ces nouvelles règles ne trouvent pas un écho favorable, rapporte le média CNBC. Le délai de quatre jours imposé par la SEC est jugé « déraisonnable ». Les entreprises redoutent que cette courte fenêtre ne puisse être exploitée par les cybercriminels alors qu’elles sont déjà sur le pont pour repousser l’attaque initiale.
Sabrina Sadgui – ©2023 BFM Bourse
[ad_2]
Source link
