Lors de l’Annual Securities Regulation Institute organisé par la Northwestern Pritzker School of Law, Gary Gensler, président de la SEC a déclaré que « le secteur financier restait une cible vraiment réelle pour les cyberattaques » et qu'il était « de plus en plus intégré aux infrastructures critiques de la société ». Même si la SEC participe à plusieurs organes consultatifs, comme le Financial Stability Oversight Council (FSOC) et le Banking Information Infrastructure Committee (BIIC), entre autres choses, organismes qui traitent directement des exigences en matière de cybersécurité, l'agence n'a pas de règles strictes dans ce domaine, ni d’obligation de déclaration des incidents de cybersécurité pour les entreprises cotées en bourse. Cependant, elle dispose de règles en matière de protection des données et d'autres exigence de sécurité pour les segments financiers qu'elle régule directement, notamment les bourses, les courtiers, les conseillers financiers et autres.

Des textes existants et étendus

En 2011, la SEC a publié des directives précisant que « même si aucune obligation de divulgation existante ne fasse explicitement référence aux risques de cybersécurité et aux cyber-incidents, les entreprises peuvent néanmoins se trouver dans l’obligation de communiquer ces risques et ces incidents ». Néanmoins, dans cette directive, la SEC conseillait aux entreprises de « transmettre les informations importantes concernant les risques de cybersécurité et les cyber-incidents quand cela s’avérait nécessaire, de façon à ce que les autres divulgations requises, à la lumière des circonstances dans lesquelles elles sont faites, ne soient pas trompeuses ». C’est pourquoi, la plupart des entreprises cotées en bourse ont commencé à signaler les risques et incidents de cybersécurité importants, en utilisant fréquemment un formulaire de déclaration standard de la SEC appelé 8-K.

En 2018, la SEC a publié des directives interprétatives en vue d’étendre celles de 2011, en soulignant l'importance qu’il y avait à poursuivre des politiques et procédures complètes liées aux risques et incidents de cybersécurité. Les orientations actualisées ont également rappelé aux entreprises les interdictions applicables en matière de délit d'initié en vertu des dispositions générales antifraude des lois fédérales sur les valeurs mobilières. Elle soulignait de plus les obligations des entreprises de « s'abstenir de faire des divulgations sélectives d'informations matérielles non publiques sur les risques ou incidents de cybersécurité ».

Comme les orientations de 2011, la mise à jour de 2018 souligne qu'« aucune obligation de divulgation existante ne fait explicitement référence aux risques de cybersécurité et aux cyber-incidents ». La mise à jour de 2018 réaffirme cependant les exigences statutaires de dépôt financier connues sous le nom de Regulation S-K et Regulation S-X qui pourraient exiger des communications sur la cybersécurité dans les déclarations d'enregistrement et les rapports financiers soumis à la SEC. Même sans règles d’informations obligatoires, la SEC a intenté des actions en justice contre des entreprises pour de mauvaises pratiques en matière de rapports sur la cybersécurité. En 2018, la Commission a contraint Yahoo à payer une pénalité de 35 millions de dollars dans un règlement amiable pour clore une procédure contre l’entreprise, accusée d’avoir trompé les investisseurs en omettant de divulguer l'une des plus importantes violations de données au monde.

De nouvelles propositions pour renforce le pouvoir de la SEC

Dans son discours, Gary Gensler a proposé plusieurs changements impliquant des pouvoirs actualisés ou élargis de la SEC sur la cybersécurité.

En particulier :

- « Actualiser » la réglementation sur la conformité et l'intégrité des systèmes (Reg SCI) : M. Gensler a déclaré qu'il prévoyait de demander à la SEC, lors de sa prochaine réunion, d'envisager une version « actualisée » de la Reg SCI afin de renforcer l'hygiène en matière de cybersécurité des entités financières de premier plan. Initiée en 2014, la réglementation sur la conformité et l'intégrité des systèmes, ou Reg SCI, couvre un sous-ensemble de grandes entités enregistrées, notamment les bourses, les chambres de compensation, les systèmes de négociation alternatifs et les organismes d'autoréglementation (OAR). Cette règle vise à améliorer la résilience de ces entités en exigeant des programmes technologiques solides, des plans de continuité des activités, des protocoles de test, des sauvegardes de données et d'autres exigences.

- Renforcer l'hygiène en matière de cybersécurité et les rapports d'incidents des déclarants du secteur financier : M. Gensler a déclaré qu'il avait demandé à ses équipes comment renforcer l'hygiène en matière de cybersécurité des déclarants du secteur financier et le signalement des incidents à un groupe plus large, y compris les sociétés d'investissement, les conseils en investissement et les courtiers-négociants, non couverts par la réglementation sur la conformité et l'intégrité des systèmes SCI, en tenant compte des orientations publiées par la Certified Information Systems Auditor (CISA) et d'autres.

- Renforcer la protection des informations relatives aux clients pour les déclarants du secteur financier : M. Gensler a indiqué qu'il avait demandé au personnel de formuler des recommandations visant à modifier la manière dont les clients des entreprises du secteur financier reçoivent des notifications sur les cyber-évènements lorsque leurs données, notamment des informations personnelles identifiables, ont été consultées.

- Améliorer les rapports sur les risques et les événements de cybersécurité pour les sociétés cotées en bourse : M. Gensler a demandé à son personnel de formuler des recommandations sur les pratiques des sociétés cotées en bourse en matière de cybersécurité et de divulgation des cyber-risques, y compris éventuellement leurs pratiques en matière de gouvernance, de stratégie et de gestion des risques liés à la cybersécurité. Selon M. Gensler, les entreprises et les investisseurs auraient tout à gagner à ce que ces informations soient présentées d'une « manière cohérente, comparable et utile à la prise de décision », plutôt que de recourir à des descriptions informelles comme celles qui figurent actuellement dans les documents 8-K. Il a également demandé à son personnel de formuler des recommandations sur l'opportunité de mettre en place un système de contrôle de la cybersécurité. Il a également demandé au personnel de recommander si et comment mettre à jour les informations communiquées par les entreprises aux investisseurs après des cyber-événements.

- S'attaquer au risque de cybersécurité des fournisseurs de services : L'idée d'obliger certaines sociétés publiques à identifier les prestataires de services susceptibles de présenter des risques de cybersécurité est peut-être la plus controversée des mesures présentées par le président de la Securities and Exchange Commission (SEC). À la suite d'une série d'attaques contre la chaîne d'approvisionnement, notamment la compromission du fournisseur de logiciels d'entreprise SolarWinds, M. Gensler a déclaré qu'il avait demandé à son personnel d'envisager des recommandations sur la manière de traiter le risque de cybersécurité des fournisseurs de services. Parmi les mesures citées par M. Gensler pour traiter la sécurité des fournisseurs figurent l'obligation pour certains déclarants d'identifier les fournisseurs de services qui pourraient présenter des risques et la responsabilisation des déclarants quant aux mesures de cybersécurité des fournisseurs de services pour la protection des informations des investisseurs.

Un discours qui devrait faire des vagues

Scott Ferber, associé chez McDermott Will & Emery, a expliqué que, bien qu'expansives, les propositions de M. Gensler sont cohérentes avec le rôle que pense devoir jouer la SEC en matière de cybersécurité. « La SEC a clairement indiqué depuis des années que la cybersécurité se situe dans sa sphère d’intervention ». Ajoutant : « Le discours du président renforce cette priorité et met en avant diverses initiatives. Il devrait secouer beaucoup d’administrés, y compris le secteur financier, les inscrits de la SEC, les entreprises publiques et, notamment, les fournisseurs de services, même ceux qui ne sont pas réglementés par la SEC aujourd'hui ».

Un calendrier encore flou

Ce qui n'est pas clair, cependant, c'est le temps que se donne la SEC pour mettre en application certaines de ces mesures, si elle le fait. L'année dernière, l’institution a mis à son ordre du jour public une réglementation sur les amendements visant à améliorer les divulgations des émetteurs concernant la gouvernance du risque de cybersécurité. Cette réglementation, prévue pour octobre 2021, ne s'est toujours pas concrétisée. En septembre dernier, M. Gensler a déclaré au Comité sénatorial des banques, le Senate Banking Committee, que l'agence était en train d'élaborer une proposition sur la gouvernance des risques liés à la cybersécurité, qui « pourrait aborder des questions comme l'hygiène en matière de cybersécurité et la déclaration des incidents ». La SEC n'a pas répondu aux demandes d'information concernant l'élaboration de règles apparemment bloquée ou le calendrier des récentes propositions de M. Gensler. Mais Scott Ferber pense que la SEC est prête à agir rapidement. « Je ne crois pas qu’il faudra attendre plusieurs années avant l’adoption des nouvelles propositions de M. Gensler », a-t-il déclaré. « Il semble que la SEC cherche à agir rapidement dans ce domaine », a-t-il ajouté.