Les réglementations proposées par la SEC en matière de cybersécurité se profilent à l'horizon

À l'horizon 2023, les professionnels de la cybersécurité qui travaillent pour des entreprises publiques doivent s'attendre à un examen beaucoup plus minutieux, car de nouvelles réglementations établies par la Securities and Exchange Commission (SEC) entrent en vigueur.

Bien qu'elles ne soient pas encore définitives, on s'attend généralement à ce que la SEC impose, au printemps prochain, des exigences supplémentaires en matière de divulgation d'informations à la suite d'une violation et de mises à jour subséquentes des mesures de sécurité internes pour y faire suite. Outre les divulgations systématiques relatives à la cybersécurité, on s'attend également à ce que les sanctions pour manquement à l'obligation de signaler les incidents de cybersécurité qui entraînent des divulgations tardives et une exposition prolongée des données des clients se durcissent. Il est également probable qu'au moins un membre du conseil d'administration doive avoir une expertise en matière de cybersécurité.

Ces exigences devraient, en général, renforcer les mesures globales de cybersécurité et, à cet égard, elles devraient marquer une évolution positive. De nombreux progrès ont été réalisés en termes de sensibilisation générale à l'importance de la cybersécurité parmi les dirigeants d'entreprise, mais il reste encore beaucoup de chemin à parcourir.

En revanche, les responsables de la cybersécurité risquent d'être tenus plus personnellement responsables des résultats. Les inquiétudes sont déjà nombreuses suite à la condamnation de l'ancien responsable de la sécurité d'Uber, Joe Sullivan pour « obstruction à l'enquête de la Federal Trade Commission et de dissimulation de crime en lien avec la tentative de dissimulation d'un piratage survenu chez Uber en 2016 ».

En plus d'une éventuelle peine de prison, la SEC est réputée pour infliger des sanctions sévères. Les responsables de la cybersécurité travaillant dans des entreprises publiques peuvent avoir besoin d'un certain type de police d'assurance afin de régler ces pénalités au cas où la SEC leur infligerait une amende. D'autres responsables de la cybersécurité pourraient simplement juger que les risques n'en valent pas la peine et choisir de travailler pour des entreprises privées non soumises aux réglementations de la SEC. Le personnel chargé de la cybersécurité, cependant, pourrait bien avoir un avis totalement différent. Les entreprises publiques seront tenues par la loi d'investir davantage dans la cybersécurité, ce qui devrait, à terme, faire d'elles un meilleur lieu de travail.

Que les professionnels de la cybersécurité travaillent pour une entreprise publique ou privée, l'année à venir promet de marquer un tournant. Les professionnels de la cybersécurité réclament depuis des années que l'on s'intéresse enfin à ce problème. Le niveau d'effort pour se conformer aux différents mandats est, par conséquent, en constante évolution. Les entreprises devront toujours se dépasser pour adopter et maintenir les bonnes pratiques, mais, a minima, les exigences de conformité sont désormais plus strictes. On ignore encore combien de temps il faudra avant que les entreprises ne se voient demander des comptes par des organismes de réglementation tels que la SEC, mais un ou deux exemples très médiatisés d'amendes infligées devraient suffire à faire passer le message.

En attendant, les équipes de cybersécurité qui travaillent pour des entreprises publiques devraient se préoccuper dès maintenant à une nouvelle vision de la cybersécurité. Outre une meilleure appréciation des vulnérabilités connues ayant un impact sur les environnements, ils devront également évaluer les capacités des plateformes de cybersécurité dont ils disposent aujourd'hui. Le problème, comme le savent la plupart des professionnels de la cybersécurité, est que nombre de ces plateformes sont largement dépassées par les besoins actuels.