Conformité cyber : Cohesity réagit aux annonces de la SEC

0
172

Le 26 juillet dernier, la Securities and Exchange Commission (SEC), l’autorité des marchés financiers aux États-Unis, publiait de nouvelles obligations pour les entreprises cotées en bourse. Ces dernières sont désormais tenues de divulguer tout incident cyber important dans un délai de quatre jours ouvrables, et de publier chaque année des informations précises quant à leurs gestion, stratégie et gouvernance en matière de risques cyber.

En France, depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) impose aussi aux entreprises victimes de cyberattaques par rançongiciel de déposer plainte dans les 72 heures si elles souhaitent bénéficier d’une assistance et d’un remboursement d’une cyber-rançon par leur assurance.

Par ailleurs, la directive européenne NIS 2 qui doit entrer en vigueur dans les états membres au deuxième semestre 2024 impose un nouveau cadre réglementaire pour la gestion des risques cyber, notamment en termes d’analyse des mesures mises en place pour la sécurité des systèmes d’information, la continuité des activités, la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises.

La question des données critiques et sensibles, de leur identification claire et des mesures de protection mises en place sera donc au cœur de ce nouveau cadre règlementaire. Aux États unis, la SEC va plus loin, imposant aux entreprises touchées de divulguer l’impact matériel de l’attaque, notamment en termes de données les plus critiques.

Cependant, pour Mark Molyneux, directeur technique EMEA chez Cohesity, « La plupart des entreprises auront du mal à évaluer correctement la valeur des données volées, modifiées, consultées ou utilisées à d’autres fins non autorisées, car beaucoup sont cachées dans l’obscurité. » Gartner parle ici de « Dark Data » qui représenteraient jusqu’à 75 % des données totales de l’entreprise. Afin de se préparer au mieux à ce nouveau cadre législatif, « Les entreprises doivent s’équiper d’un système de sauvegarde et de classification moderne, robuste et intelligent de leurs données, qui répond aux exigences de conformité et de transparence en vigueur, mais aussi et surtout, pour contrer la menace exponentielle de cyberattaques, toujours plus sophistiquées et pernicieuses » poursuit Mark Molyneux.

Alors que ces nouvelles règles sont assorties de sanctions notoires – la SEC ayant infligé des amendes de 6,4 milliards de dollars pour la seule année 2022 – les entreprises cotées aux États-Unis doivent se mettre en ordre de marche. L’Europe elle n’est pas en reste, particulièrement à l’approche de l’entrée en vigueur de la directive NIS 2.