Faut-il y voir une influence du RGPD européen ? En tout cas, les Etats-Unis se préparent à revoir leurs règles en matière de notification des incidents de cybersécurité et se rapprocher des exigences européennes. Ainsi, la SEC (Securities and Exchange Commission) vient de proposer un amendement pour ces règles. Le gendarme américain de la bourse veut que cette notification soit réalisée dans les 72 heures après la survenance ou la connaissance du piratage. Cette contrainte serait applicable aux sociétés cotées en bourse (et donc sous la surveillance de la SEC).

Par ailleurs, le régulateur veut exiger des « divulgations périodiques » de l’impact des menaces de cybersécurité dans les rapports trimestriels (10-Q) et annuels (10-K) des entreprises cotées. Pour les notifications urgentes, les sociétés passeront par le formulaire 8-K. L’objectif de ces informations est de protéger les investisseurs en ayant connaissance des risques sur leur participation dans une société. Les problèmes de cybersécurité peuvent avoir un impact énorme sur la valeur boursière et le secteur d’activité d’une entreprise, précise la SEC.

Des notifications en 72 h , mais 24 h pour les ransomwares à la CISA

Autre organisme qui devrait voir les délais de notifications changer : la CISA (Cybersecurity and Infrastructure Security Agency). Dans un projet de loi de finance, les opérateurs d’infrastructures critiques et les agences fédérales devront signaler les cyber-incidents dans un délai de 72 h comme pour la SEC. Mais à la différence du régulateur boursier, l’équivalent de l’Anssi américaine va plus loin concernant les ransomwares en demandant une notification dans les 24 h.

En cas de non-respect de ces délais, la directrice du CISA (Jen Easterly) pourra saisir le procureur général afin qu'il engage une action civile devant un tribunal de district des États-Unis. La CISA peut également rendre les rapports d'incident disponibles de manière anonyme et les diffuser, avec des mesures de défense, aux parties prenantes appropriées. Dans le même temps, la réglementation prévoit un programme pilote d’alerte sur les vulnérabilités exploitées dans les attaques par ransomwares et les techniques d’atténuation. La loi évolue donc, mais certains organismes se sentent lésés comme le FBI par exemple qui n’est pas cité comme destinataire des notifications. « Il s’agit d’une grave lacune », souligne le directeur du FBI, Christopher Wray.