Le 26 juillet dernier, la Securities and Exchange Commission (SEC), l’autorité des marchés financiers aux États-Unis, publiait de nouvelles obligations pour les entreprises cotées en bourse. Ces dernières sont désormais tenues de divulguer tout incident cyber important dans un délai de quatre jours ouvrables, et de publier chaque année des informations précises quant à leurs gestion, stratégie et gouvernance en matière de risques cyber.
En France, depuis le 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (Lopmi) impose aussi aux entreprises victimes de cyberattaques par rançongiciel de déposer plainte dans les 72 heures si elles souhaitent bénéficier d’une assistance et d’un remboursement d’une cyber-rançon par leur assurance.
Par ailleurs, la directive européenne NIS 2 qui doit entrer en vigueur dans les états membres au deuxième semestre 2024 impose un nouveau cadre réglementaire pour la gestion des risques cyber, notamment en termes d’analyse des mesures mises en place pour la sécurité des systèmes d’information, la continuité des activités, la gestion des sauvegardes et la reprise après sinistre, ainsi que la gestion des crises.
La question des données critiques et sensibles, de leur identification claire et des mesures de protection mises en place sera donc au cœur de ce nouveau cadre règlementaire. Aux États unis, la SEC va plus loin, imposant aux entreprises touchées de divulguer l’impact matériel de l’attaque, notamment en termes de données les plus critiques.