Le paysage de la gestion des risques cybernétiques des entreprises publiques américaines s'ouvre à un nouveau discours.
En mars 2022, la Securities and Exchange Commission (SEC) des États-Unis a ajouté un nouvel élément à sa liste de tâches en annonçant un processus de consultation sur la manière dont les sociétés américaines cotées en bourse doivent gérer leur cyberrisque. Cela reflète la nature générale de nombreux systèmes de commerce électronique et la manière dont ils contribuent à la valeur de l'entreprise et de l'actionnaire.
Toutefois, pour les investisseurs, cette contribution est à double tranchant. Les capacités numériques créent de la valeur et exposent les entreprises à de nouveaux risques potentiellement importants. Ces risques peuvent être considérables et les entreprises ont besoin de capacités efficaces de gestion des cyberrisques pour évaluer, gérer et contrer toute cybermenace.
Le processus de consultation de la SEC vise à contribuer à l'élaboration d'un cadre réglementaire de gestion des cyberrisques qui soit efficace, pratique et utile aux investisseurs, aux entreprises et au marché dans son ensemble.
Bien qu'elle en soit encore au stade de la consultation, la direction à suivre est claire. En temps voulu, la réglementation de la SEC en matière de gestion des cyber-risques sera probablement équivalente aux exigences de conformité de la loi Sarbanes-Oxley (SOX).
Explorer les nouvelles exigences de la SEC
Tout d'abord, la proposition prévoit que les rapports sur la gestion des cyberrisques feront partie du processus standard de déclaration SEC 8-K, conformément aux obligations de déclaration de l'entreprise actuellement cotée en bourse. Ces rapports porteraient sur les politiques et procédures de gestion des cyberrisques de l'entreprise, sur son cadre de gestion et de gouvernance des cyberrisques et sur l'expertise du conseil d'administration dans ce domaine. Il est essentiel de signaler les cyberincidents, les mises à jour des incidents précédents et leurs implications commerciales.
Comme c'est généralement le cas pour toute nouvelle réglementation, le texte est, à bien des égards, la partie la plus facile à assimiler. Le défi consiste à maîtriser les détails et à trouver la meilleure façon d'aligner vos systèmes et processus de gestion des risques sur ces textes. Dans certains cas, cela peut obliger les entreprises à revenir aux principes de base, à comprendre et à documenter leurs systèmes et procédures de cybersécurité existants afin de s'assurer que tout est identifié et enregistré, de bout en bout. Cette approche permet également aux entreprises d'identifier toute lacune dans leur activité qui pourrait être exposée à la surveillance réglementaire et aux risques opérationnels, commerciaux ou de réputation que ces lacunes engendrent.
Si des lacunes et des problèmes peuvent émerger de cette analyse, cela ne veut pas dire que les sociétés cotées en bourse ne sont pas conscientes des problèmes liés aux cyberrisques. Aucune société cotée en bourse - ou prévoyant de l'être - ne sera dépourvue d'une politique de cybersécurité, d'une série de systèmes et de processus pertinents et, probablement, de la nomination d'un responsable de la sécurité de l'information (CISO).
Le principal défi consiste à trouver la meilleure façon de saisir et de consolider tous ces efforts et toutes ces activités afin que l'entreprise soit résiliente, qu'elle se conforme à tout contrôle réglementaire et qu'elle se développe comme elle le doit sans que la cybersécurité ne freine l'activité, mais au contraire en favorisant la réussite.
Historiquement, les entreprises se sont tournées vers les applications de gestion des risques d'entreprise (ESG) pour traiter et améliorer leurs capacités de gestion des cyber-risques. Cette approche peut être très normative et, si elle est idéale pour certaines entreprises, elle est souvent difficile à mettre en œuvre pour beaucoup d'autres.
De nombreuses entreprises comprennent l'importance de sélectionner la bonne solution de gestion des risques d'entreprise (ERM), car la technologie peut sans aucun doute être leur meilleure alliée. L'utilisation de technologies modernes basées sur le SaaS pour gérer les cyberrisques est une approche dynamique qui profite en fin de compte à l'organisation. Plus faciles à déployer et à utiliser, elles peuvent renforcer vos capacités et processus existants pour garantir la résilience opérationnelle.
De nombreuses entreprises comprennent l'importance de sélectionner la bonne solution de gestion des risques d'entreprise (ERM), car la technologie peut sans aucun doute être leur meilleure alliée. L'utilisation de technologies modernes basées sur le SaaS pour gérer les cyberrisques est une approche dynamique qui profite en fin de compte à l'organisation. Plus faciles à déployer et à utiliser, elles peuvent renforcer vos capacités et processus existants pour garantir la résilience opérationnelle.
À quoi pourrait ressembler une solution basée sur SaaS pour votre entreprise ?
La solution idéale se caractérise tout d'abord par une architecture centralisée qui vous permet de saisir, de consolider et de définir la politique de cybersécurité de votre entreprise. Dans de nombreux environnements, il est possible qu'il y ait un mélange d'approches et de lacunes différentes. L'astuce consiste à disposer d'une structure unifiée vers laquelle tout le monde peut pivoter.
L'étape suivante consiste à s'assurer que les personnes comprennent leurs obligations et les mettent en œuvre de manière approfondie. Historiquement, cette responsabilité incombait à l'équipe de sécurité. Cependant, la responsabilité de la mise en œuvre d'une politique de sécurité se déplace de l'équipe de sécurité vers l'équipe chargée des opérations quotidiennes. Les systèmes basés sur SaaS permettent aux équipes de sécurité d'intégrer les exigences de leur politique dans la plateforme de sécurité, de sorte que leur rôle se concentre davantage sur la fourniture de conseils et d'orientations que sur le maintien de l'ordre. Cette approche permet de garantir le maintien des normes de sécurité dans un environnement technologique plus complexe, tout en respectant les contraintes auxquelles les équipes de sécurité sont généralement soumises. Elle permet également de s'assurer que l'entreprise peut se développer de manière optimale, avec l'aide d'un solide programme de gestion des risques.
Ces plateformes centralisées offrent également des possibilités de formation, d'éducation et d'attestation qui permettent aux équipes des secteurs d'activité de confirmer que leurs systèmes et processus reflètent les normes de l'entreprise et s'y conforment.
En outre, des fonctionnalités supplémentaires permettent d'établir des rapports au niveau de l'entreprise et d'analyser les lacunes afin de permettre à une entreprise de trouver des lacunes dans ses capacités de gestion des cyberrisques au fur et à mesure que l'environnement commercial, la politique de sécurité et l'environnement réglementaire évoluent.
Un aperçu de la plateforme GRC du futur
Découvrez comment vous pouvez tirer parti d'une plate-forme SaaS unique pour répondre à l'ensemble de vos besoins en matière de GRC.
