Les entreprises crypto cotées aux États-Unis devront signaler toutes les brèches liées à la cybersécurité
Du nouveau venant de la Securities and Exchange Commission (SEC). Le gendarme financier américain vient de rendre obligatoire aux sociétés crypto américaines enregistrées de déclarer publiquement leurs failles de cybersécurité.
Une nouvelle règle pour les sociétés américaines
SI les sociétés crypto sont plus que concernées – elles sont extrêmement dépendantes de l’informatique et comportent donc de potentielles failles – c’est en réalité tout le monde du “corporate” américain qui sera assujetti à cette nouvelle règle.
Le projet fut présenté par la SEC une première fois il y a un an et demi, en mars 2022. Il fut pourtant adopté ce mercredi 26 juillet à l’issue d’un vote favorable de 3 voix contre 2.
Dans une dynamique de protection des investisseurs chère au régulateur américain, celui-ci veut obliger les grandes sociétés américaines à publier, sous 4 jours, un rapport des failles dans leurs systèmes informatiques dès qu’elles apparaissent. Ces nouvelles règles votées par la SEC incluent également la publication d’un rapport annuel sur la gestion du risque cyber sécuritaire.
Des arrangements pourront être trouvés si la divulgation de failles met en péril la sécurité d’une entreprise
Divulguer des failles de sécurité pourrait s’avérer extrêmement périlleux pour les sociétés concernées, en particuliers pour les sociétés crypto. On peut en effet très facilement imaginer qu’un exchange crypto dévoilant des failles dans son système informatique pourrait se révéler très coûteux, en particulier pour les clients.
La SEC souhaite donc logiquement laisser une marge de manœuvre aux sociétés concernées, la nouvelle obligation ne devenant effective qu’après 30 à 180 jours suivant l’inscription de ces nouvelles règles dans le Registre Fédéral.
En sachant que même si la plupart des grosses sociétés comprenant des systèmes informatiques à risque réalisent déjà des évaluations de risques concernant leur cybersécurité, aucun rapport officiel n’était pour l’instant demandé par les autorités. Un délai accordé à ces entreprises semble donc tout à fait compréhensible.
La SEC rappelle également que si l’Avocat Général des États-Unis juge que la divulgation de brèches liées à la cybersécurité implique “un risque substantiel pour la sécurité nationale ou la sécurité publique”, les entreprises peuvent entamer une procédure pour reporter leur rapport.
La cybersécurité devient un enjeu essentiel
Selon les dires d’une figure importante de la cybersécurité aux États-Unis, Amit Yoran, la nouvelle règle proposée par la SEC est la bienvenue :
“Pendant longtemps, les entreprises américaines les plus grandes et les plus puissantes ont considéré la cybersécurité comme un atout et non comme une nécessité. Aujourd’hui, il est tout à fait clair que les dirigeants d’entreprise doivent élever le niveau de cybersécurité au sein de leur organisation”.
Dans un récent rapport publié par le géant de l’informatique IBM, on pouvait lire que les failles informatiques coûtent en moyenne 4,5 millions de dollars par an aux grandes entreprises américaines, cela étant en hausse de 15% sur les trois dernières années.
Selon la SEC, le temps est donc venu de sécuriser les réseaux et systèmes informatiques. Si, on l’espère, les grandes firmes crypto faisaient déjà sérieusement auditer leur systèmes informatiques, cette nouvelle règle de la SEC pourrait venir faire décroitre le nombre de fraudes et renforcer la sécurité des consommateurs.






