En 2023, les régulateurs lanceront un”gant de déclaration”et obligeront les sociétés cotées à divulguer les cyberattaques en un temps record. Ce changement radical législatif intensifiera non seulement le besoin de protections adéquates contre les attaques, mais obligera les entreprises à identifier et à signaler un incident à leurs actionnaires et à la Cybersecurity Infrastructure Security Agency (CISA) dans les 72 heures.
Régulateurs ont pris note que les entreprises mènent une bataille perdue d’avance contre la cybercriminalité étrangère et nationale, et en introduisant une réglementation plus stricte en matière de cybersécurité, leur objectif est de s’assurer que les entreprises traitent les cyberattaques comme une menace de plus en plus systémique.
Avec la cybercriminalité qui devrait coûter au monde 10 500 milliards de dollars par an d’ici 2025, l’importance de sécuriser les infrastructures critiques telles que comme l’énergie, les transports et les services financiers, essentiels à une société qui fonctionne et à une économie forte. Les régulateurs cherchent également à réduire le risque pour les parties prenantes d’une entreprise. Pour reprendre les mots du président de la SEC, Gary Gensler,”Les investisseurs recherchent des informations cohérentes, comparables et utiles à la prise de décision afin de pouvoir placer leur argent dans des entreprises qui répondent à leurs besoins”.
Un changement législatif bienvenu ?
Le 9 mars 2022, la Securities and Exchange Commission (SEC) a publié une proposition intitulée Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure. Cette législation obligerait les sociétés cotées en bourse à signaler les incidents de cybersécurité”matériels”sur un formulaire 8-K aux investisseurs dans les 72 heures. Cela survient après une tendance à la baisse des divulgations d’incidents cybernétiques sur les formulaires 8-K et 10-K en 2020 et 2021, malgré un nombre record de cyberattaques.
La législation obligerait en outre les entreprises à divulguer à la CISA si la cybersécurité fait partie de la stratégie commerciale, de l’allocation du capital et de la planification financière d’une organisation. Les mesures de cybergouvernance incluses rendraient également obligatoires des rapports périodiques sur la surveillance du risque de cybersécurité par le conseil d’administration, ainsi que sur tout directeur d’entreprise actif ayant une expertise antérieure en cybersécurité pour décrire la nature de cette expérience.
Les règles généralisées visent à accroître transparence pour les investisseurs et les parties prenantes, leur permettant de prendre des décisions éclairées concernant leurs fonds propres et leurs données et d’améliorer leur compréhension de la manière dont les entreprises gèrent leurs expositions aux cyber-risques. Les organisations s’exposeront à de lourdes amendes si elles ne se conforment pas à la réglementation de la SEC, ce qui signifie qu’une protection adéquate de la cybersécurité et une gestion des risques sont plus importantes que jamais.
Un programme de sécurité des meilleures pratiques en 2023 doit avoir la capacité de tester, évaluer et rendre compte de l’efficacité de ses opérations, ainsi qu’adopter des améliorations continues pour maintenir les performances à mesure que de nouvelles menaces émergent.
Progrès technologique
La cybersécurité en tant que Le besoin des entreprises n’est ni nouveau ni révolutionnaire, mais à mesure que le type de menaces auxquelles les entreprises sont confrontées change, ses défenses doivent également changer. L’activité de l’État-nation en 2022 a vu l’infrastructure nationale critique mondiale être attaquée, alors que la guerre en Russie persistait.
Une analyse du géant de la cybersécurité Mandiant a révélé que les attaques de la chaîne d’approvisionnement des logiciels ciblaient les agences gouvernementales ukrainiennes et que les attaques de logiciels malveillants frappaient les institutions polonaises dans un effort concerté. pour immobiliser et affaiblir les entreprises et les infrastructures de l’État-nation. Les organisations sont désormais en première ligne d’une cyberguerre qui transcende les secteurs et les frontières géographiques, Goldman Sachs prédisant qu’une attaque russe contre l’infrastructure américaine pourrait coûter à l’économie jusqu’à 1 000 milliards de dollars.
Pour lutter contre la menace accrue, les entreprises recherchent une préparation au combat pour leurs systèmes et leurs cyber-équipes. Les protections de niveau militaire telles que les cyber-portées fournissent une réplique réaliste et haute fidélité des environnements virtuels qui testent de manière exhaustive les équipes et les outils jusqu’à l’échec. En simulant différents scénarios de sécurité, les cybergammes ont le potentiel de compresser trois années d’attaques en 24 heures de test.
En allant au-delà des outils de surveillance des terminaux et de la planification théorique, les équipes peuvent former des liens et développer le muscle mémoire nécessaire pour protéger avec succès les actifs stratégiques des organisations. Fondamentalement, la dérivation de rapports basés sur des métriques peut également être déterminante pour répondre aux demandes des organes législatifs et répondre aux questions des membres du conseil d’administration, telles que « Dans quelle mesure notre entreprise est-elle prête à divulguer des informations ? », « Avons-nous effectué une évaluation des lacunes ? » , et”Quelles pratiques en matière de cyber-risque doivent changer et rester les mêmes ?”
Bien que les menaces matérielles posées par les groupes soutenus par les États-nations au cours des 12 derniers mois aient sensibilisé de nombreuses organisations au risque systémique que représentent les attaques contre des pose d’infrastructure, nous ne pouvons pas être complaisants dans notre guerre contre les attaquants. Préparer les organisations à la poursuite de la cyberguerre, ainsi qu’à la nouvelle réglementation de la SEC, sera dans l’esprit de chaque PDG au cours de l’année à venir, et les solutions qu’elle propose seront cruciales pour atténuer les risques.
Les entreprises doivent changer le façon dont ils encadrent leur cyberexposition à une approche axée sur les résultats. S’éloigner de la mentalité de case à cocher de la couverture, et des différents tests qu’ils ont passés, vers l’inspiration de la confiance dans la cohésion de l’interaction de leur système, à la totalité de la conviction dans un programme de cybersécurité quantifié et étalonné fonctionnant dans son ensemble, sera un indicateur clé sur lequel repose le succès.
Crédit photo : Alexander Supertramp/Shutterstock
James Gerber est directeur financier de la société mondiale de cybersécurité SimSpace. Fort d’une expertise dans les domaines de l’ingénierie et de la suite dirigeante, Jamie a accumulé plus de 30 ans d’expérience dans la prévision des risques et la définition de la stratégie de certaines des plus grandes entreprises de construction et de transport au monde. Jamie a précédemment occupé des postes de directeur financier chez IronNet, Worldstrides et la Pension Benefit Guarantee Corporation (PBGC). Au cours de son mandat chez PBGC, un assureur de retraite de plusieurs milliards de dollars, Jamie s’est concentré sur l’élaboration de politiques en identifiant les risques systémiques, en répondant aux demandes des assureurs et des comités d’audit tout en dirigeant le portefeuille d’investissement alors qu’il passait de 32 milliards de dollars à plus de 50 milliards de dollars.