Exigences de la SEC en matière d'information sur la cybersécurité

Contacter un expert

Retour à tous les cas d'utilisation

Simplifier l'évaluation des risques par des tiers par rapport aux exigences de déclaration de la SEC

En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté de nouvelles règles et modifications visant à améliorer et à normaliser les informations relatives à la gestion des risques de cybersécurité, à la stratégie, à la gouvernance et au signalement des incidents par les entreprises publiques.

La publication de la SEC note que les risques de cybersécurité ont récemment augmenté pour diverses raisons, notamment la dépendance croissante des entreprises à l'égard de fournisseurs de services tiers pour les services informatiques et le nombre croissant d'incidents de cybersécurité impliquant des fournisseurs de services tiers.

Les nouveaux amendements et les nouvelles exigences en matière de rapports sont officiellement entrés en vigueur le 18 décembre 2023.

Exigences pertinentes

  • Divulguer des informations sur un incident de cybersécurité important dans les quatre jours ouvrables suivant la date à laquelle l'entreprise a déterminé que l'incident était important.

  • Fournir des informations actualisées sur les incidents de cybersécurité déjà divulgués lorsqu'ils deviennent globalement significatifs.

  • Expliquer le rôle de la direction dans la gouvernance de la cybersécurité

Répondre aux exigences de la SEC en matière d'information sur la cybersécurité

Les règles et amendements de la SEC ont été introduits en réponse à un manque de cohérence dans les rapports d'incidents de cybersécurité des entreprises publiques, ce qui peut éroder la confiance des investisseurs. Le tableau ci-dessous résume les principales exigences en matière de gestion des risques par des tiers et de divulgation des incidents afin de restaurer cette confiance.

REMARQUE : ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner l'intégralité des exigences de la SEC en consultation avec leurs auditeurs.

Amendements Comment nous aidons
Déclaration des incidents liés à la cybersécurité sur le formulaire 8-K
Point 1.05
"Décrire les aspects importants de la nature, de la portée et du moment de l'incident, ainsi que l'impact important ou l'impact important raisonnablement probable sur le déclarant, y compris sa situation financière et ses résultats d'exploitation. Prevalent enables your team to rapidly identify, respond to, report on, and mitigate the impact of third-party vendor security incidents dans le cadre de votre stratégie de gestion des incidents.

En plus de nos solutions SaaS, Prevalent propose un service géré dans lequel nos experts gèrent vos fournisseurs de manière centralisée, mènent des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent des corrélations avec la cybersurveillance continue et émettent des conseils de remédiation, le tout en votre nom.

Les principales capacités sont les suivantes

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Prevalent donne également accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violation de données des fournisseurs en temps réel.

Forte de ces informations, votre équipe peut mieux comprendre l'étendue et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en s'appuyant sur les experts de Prevalent.
Divulgation des incidents liés à la cybersécurité dans les rapports périodiques : Mises à jour des informations précédemment publiées sur le formulaire 8-K
"Divulguer les informations qui auraient été initialement déclarées sur le formulaire 8-K si elles avaient été connues ou disponibles au moment de la divulgation initiale". Prevalent continuously tracks and analyzes menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique de violations de données pour des milliers d'entreprises dans le monde.
    Prevalent incorpore également des données commerciales, financières et de réputation afin d'ajouter un contexte aux découvertes cybernétiques et de mesurer l'impact des incidents au fil du temps.
Divulgation de la stratégie et de la gestion des risques de cybersécurité d'un déclarant

Point 106(b) du règlement S-K
"La question de savoir si et comment les processus de cybersécurité décrits dans la rubrique 106(b) ont été intégrés dans le système ou les processus de gestion des risques globaux du déclarant" Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, sur la base des meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation
"Le déclarant engage-t-il des évaluateurs, des consultants, des auditeurs ou d'autres tiers dans le cadre de ces processus ? Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent, et sont soutenues par des capacités de workflow, de gestion des tâches et d'examen automatisé des preuves, afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir des preuves appropriées aux auditeurs.

La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et autres cadres réglementaires, ce qui vous permet de visualiser et d'aborder rapidement les exigences de conformité importantes et d'ajuster votre programme en conséquence - y compris d'accepter ou non les risques résiduels.

Pour les organisations disposant de ressources et d'une expertise limitées, Prevalent peut gérer le cycle de vie du risque tiers en votre nom - depuis l'intégration des fournisseurs et la collecte de preuves, jusqu'à la fourniture de conseils de remédiation et la production de rapports sur les accords de niveau de service (SLA) contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir le personnel interne.
"Si le déclarant dispose de processus de surveillance et d'identification des risques importants liés aux menaces de cybersécurité associées à son utilisation d'un fournisseur de services tiers. Prevalent enables you to assess and monitor your third parties based on extent of the threats to your information assets by capturing, tracking and quantifying risques inhérents for all third parties. Criteria used to calculate inherent risk for third-party classification includes:

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.
Divulgation du rôle de la direction et du conseil d'administration d'un déclarant en matière de gouvernance de la cybersécurité

Points 106(c)(1) et 106(c)(2) du règlement S-K
"Les processus par lesquels le conseil d'administration est informé des risques de cybersécurité, et la fréquence de ses discussions à ce sujet ; et ...

"Les processus par lesquels ces personnes ou comités sont informés de la prévention, de la détection, de l'atténuation et de la correction des incidents de cybersécurité et en assurent le suivi ....

"La question de savoir si ces personnes ou comités communiquent des informations sur ces risques au conseil d'administration ou à un comité ou sous-comité du conseil d'administration.

 Prevalent provides a framework for centrally measuring third-party KRIs en fonction de vos besoins et en réduisant les lacunes dans la surveillance des fournisseurs grâce à des informations intégrées issues du machine learning (ML) et à des rapports personnalisables basés sur les rôles.

Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut des risques des tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

Prevalent améliore également l'efficacité en mettant les bonnes données entre les bonnes mains au bon moment. Les destinataires des rapports peuvent ainsi déterminer rapidement l'acceptabilité des risques et prendre des décisions en toute confiance, quel que soit leur niveau de compétence.
Ressources complémentaires
Gouvernance, risque et conformité
La LPDP et la gestion du risque pour les tiers
En savoir plus
Gouvernance, risque et conformité
Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers
En savoir plus
Gouvernance, risque et conformité
Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers
En savoir plus
Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.