Comment satisfaire aux obligations d’information sur la cybersécurité de la SEC
27 mars 2018
Le 27 mars 2018, Accounting Today a publié un article sur les directives publiées par la SEC en 2018 sur les obligations d’information sur la cybersécurité à l’intention des sociétés ouvertes et les questions dont celles-ci doivent tenir compte.
Les directives de la SEC traitent de deux aspects : les politiques et procédures en matière de cybersécurité et des interdictions concernant les délits d’initiés.
Les directives énoncent les obligations d’information, soulignent l’importance du caractère significatif au moment de préparer les informations à fournir et énumère cinq éléments à considérer à ce sujet.
Les experts de Deloitte recommandent également aux sociétés ouvertes de prendre les cinq autres mesures suivantes :
- évaluer les politiques et les procédures actuelles en matière de risques et d’incidents liés à la cybersécurité;
- mettre en adéquation les cyberrisques et le cadre des risques opérationnels et établir une compréhension commune des considérations relatives au caractère significatif;
- comprendre les obligations d’information en vertu des lois étatiques et fédérales, et mettre en place et maintenir des contrôles appropriés et efficaces à l’égard des informations à fournir sur les risques et les incidents liés à la cybersécurité;
- examiner et mettre à jour les politiques et procédures en matière de délits d’initiés;
- faire prendre conscience à la haute direction et au conseil d'administration des directives de la SEC et des obligations de la société, et évaluer et tester les processus de gestion des incidents, notamment au moyen de simulations de guerres de l’information.
Lire l’article sur le site web d’Accounting Today et les directives sur le site web de la SEC (en anglais).
Sujets connexes
- Projet de critères de l’AICPA pour la description par la direction du programme de gestion des risques liés à la cybersécurité de l’entité [Terminé]
- Projet de l’AICPA visant à modifier les critères des services Trust à l’égard de la sécurité, de l’accessibilité, de l’intégrité du traitement, de la confidentialité et de la protection des renseignements personnels [Terminé]