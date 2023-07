Les entreprises publiques américaines doivent désormais signaler les failles de données sous quatre jours. En Europe, ce délai est de trois jours.

Les sociétés américaines ne peuvent désormais plus rester muettes dès lors que certaines de leurs données sont volées. En effet, la Securities and Exchange Commission a mis en place de nouvelles règles obligeant les entreprises du pays à signaler toute faille de données et autre incident de cybersécurité dans les quatre jours.

“Qu’une société perde une usine dans un incendie ou des milliers de fichiers dans un incident de cybersécurité, cela représente une vraie valeur pour les investisseurs”, déclarait le Président de la SEC, Gary Gensler, dans un communiqué de presse. “Actuellement, de nombreuses entreprises publiques fournissent des rapports de cybersécurité aux investisseurs. Je pense que, entreprises comme investisseurs, cependant, pourraient profiter de ces rapports si ceux-ci étaient réalisés de manière plus homogène, comparable et utile à la prise de décision. En nous assurant que les entreprises signalent toutes les informations liées la cybersécurité, les règles d’aujourd’hui profiteront aux investisseurs, aux entreprises et aux marchés qui les relient.”

Cette décision de la SEC se poursuit en expliquant que la règle des quatre jours peut être étendue si le procureur général des États-Unis décide que le partage d’un tel incident de cybersécurité “pourrait poser un risque substantiel de sécurité nationale ou de sécurité publique”.

En Europe, ce délai est de trois jours

Votée à 3-2 parmi les différents partis présents, selon Associated Press, cette décision n’est pas une surprise. Comme 9to5Mac le rapporte, en Europe, les sociétés doivent signaler les incidents de ce genre sous trois jours. Et si vous suivez l’actualité autour ces aspects, vous vous souvenez peut-être que ces règles avaient été proposées il y a un an, en mars 2022, lorsque la SEC avait constaté une augmentation nette des risques de cybersécurité alors que de très nombreuses sociétés américaines permettaient à leurs employés de travailler depuis leur domicile. Actuellement, les entreprises informent trop tardivement leurs clients qu’elles ont été piratées, quand elles le font, souvent plusieurs mois après. Ce fut le cas, par exemple, de T-Mobile et Twitter.