Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

BRIEF CONFORMITÉ

Comprendre les nouvelles règles de divulgation de la cybersécurité de la SEC

Kiteworks facilite un reporting rapide et précis

Les sociétés cotées viennent de se voir imposer de nouvelles règles strictes de reporting en cybersécurité par la Securities and Exchange Commission (SEC), les obligeant à divulguer leurs incidents de sécurité et risques cyber. Selon le Formulaire 8-K, point 1.05, les entreprises doivent désormais signaler tout incident de cybersécurité majeur dans un délai de seulement quatre jours après sa survenue. Le Formulaire 6-K sera modifié pour exiger des émetteurs privés étrangers qu’ils divulguent toute information sur des incidents de cybersécurité majeurs dans une juridiction étrangère à toute bourse ou à tout détenteur de titres. De plus, selon le Règlement S-K, point 106, les entreprises doivent détailler leurs processus de gestion des risques cyber dans leurs communications aux investisseurs, et inclure dans leurs rapports annuels 2023 l’intégralité de leur stratégie de gestion des risques cyber ainsi que les incidents passés. L’objectif est d’offrir aux investisseurs une transparence accrue sur les programmes, risques et impacts liés à la cybersécurité. Toutes les sociétés cotées devront se conformer à ces obligations annuelles pour les exercices clos après le 15 décembre 2023. Pour la déclaration des violations majeures, la plupart des entreprises devront se conformer dans les 90 jours suivant la publication des règles au Federal Register ou d’ici le 18 décembre 2023. Les petites sociétés bénéficient d’un délai jusqu’au 15 juin 2024 pour commencer les déclarations 8-K. L’objectif de la SEC est d’assurer une visibilité claire aux investisseurs sur les cybermenaces, la gouvernance et les impacts. Les fonctions de journalisation d’audit et d’alertes de sécurité de Kiteworks permettent aux organisations de surveiller les risques cyber de façon proactive, de détecter plus rapidement les incidents et de disposer des preuves nécessaires pour un reporting détaillé à la SEC dans des délais très courts. Voici comment :

Points forts de la solution

  • Journaux d’audit détaillés
  • Alertes de sécurité
  • Intégration avec les solutions SIEM
  • Visibilité centralisée
  • Surveillance en temps réel
TÉLÉCHARGER LE PDF

Renforcement de la réglementation sur le reporting

Le Règlement S-K, point 106(b) de la SEC, impose aux sociétés cotées de décrire dans leurs rapports réguliers à la SEC les processus d’évaluation, d’identification et de gestion des risques majeurs liés à la cybersécurité. Les entreprises doivent expliquer comment ces processus s’intègrent à leur dispositif global de gestion des risques et si des tiers interviennent pour soutenir la gestion des risques cyber. Elles doivent aussi indiquer si des incidents antérieurs ont eu un impact significatif sur l’activité, et comment les risques cyber pourraient influencer la stratégie et la performance à l’avenir. La SEC exige également que les sociétés cotées déclarent tout incident de cybersécurité majeur dans les quatre jours via le Formulaire 8-K, point 1.05. Cela inclut la nature, l’étendue, le calendrier et les impacts business de la violation. Enfin, le Formulaire 6-K de la SEC impose de divulguer rapidement tout risque ou incident cyber significatif pour les investisseurs. Pour être conformes, les organisations doivent disposer de fonctions permettant de détecter tôt les menaces et de collecter des preuves forensiques détaillées pour investiguer les incidents.

Supervision renforcée de la gouvernance

Le Règlement S-K, point 106(c), exige que les entreprises décrivent la supervision des risques liés aux menaces informatiques par le conseil d’administration, ainsi que le rôle et l’expertise de la direction dans l’évaluation et la gestion de ces risques. Cette déclaration est obligatoire dans les rapports annuels sur les formulaires 10-K et 20-F. Elle inclut l’identification de tout comité ou sous-comité du conseil chargé de la supervision des risques cyber, ainsi que la description des processus par lesquels le conseil ou le comité est informé de ces risques. Le conseil supervise les risques cyber, y compris ceux liés au partage de fichiers externe, via le comité d’audit. Kiteworks facilite la mise à jour régulière sur les risques cyber et les plans de remédiation, notamment grâce à ses politiques d’accès par rôle qui contrôlent la collaboration externe. Kiteworks permet un contrôle granulaire des autorisations de partage de fichiers pour limiter l’accès aux données sensibles. Des fonctions telles que le transfert d’e-mails restreint, la revue des accès utilisateurs et l’analyse de contenu protègent la propriété intellectuelle et les informations privées tout en permettant une collaboration sécurisée. L’administration centralisée des politiques et l’inspection des transactions garantissent une application cohérente à l’échelle de l’entreprise. Les journaux d’audit détaillés fournis par Kiteworks offrent aux managers et aux auditeurs les reportings nécessaires pour prouver la conformité réglementaire. Grâce à ses contrôles d’accès robustes et à l’audit, Kiteworks contribue à la gouvernance des risques cyber liés aux échanges de contenu numérique externe.

Les organisations doivent décrire le rôle de la direction dans l’évaluation et la gestion des risques majeurs liés aux menaces informatiques. Kiteworks permet à la direction d’utiliser des contrôles, une surveillance et des outils de prévention pour limiter les risques cyber liés aux partenariats avec des tiers. Des politiques d’accès granulaires garantissent que les collaborateurs externes n’accèdent qu’aux données nécessaires à leur mission. La surveillance en temps réel suit toute l’activité utilisateur, les transferts de fichiers et les accès aux données, tandis que le chiffrement et le hachage sécurisent les informations et garantissent leur intégrité. Ensemble, ces fonctions empêchent tout accès ou modification non autorisés des données, réduisant ainsi la surface d’attaque. De plus, l’intégration avec les solutions SSO, MFA, AV, ATP et DLP offre une sécurité multicouche conforme aux meilleures pratiques du secteur. Les journaux d’audit attestent de la conformité lors des contrôles et audits réguliers. En restreignant les accès, en détectant les menaces et en protégeant les actifs sensibles, Kiteworks permet une collaboration externe sécurisée tout en donnant à la direction les moyens de maintenir une gouvernance solide de la sécurité des données. L’approche « défense en profondeur » de la plateforme constitue un pilier du programme d’évaluation et de réduction des risques cyber liés aux tiers.

Les déclarations doivent également préciser si, et quels, postes de direction ou comités sont responsables de l’évaluation et de la gestion de ces risques, ainsi que l’expertise pertinente de ces personnes ou membres, avec suffisamment de détails pour décrire la nature de cette expertise. Kiteworks aide les entreprises à se conformer au Règlement S-K, point 106(c)(i) de la SEC, en fournissant des contrôles d’accès robustes et des fonctions d’audit pour sécuriser la collaboration externe. Des contrôles granulaires par rôle, alignés sur les besoins métiers, imposent le principe du moindre privilège, avec des autorisations personnalisées sur les dossiers et des rôles lecteur/uploader/éditeur pour limiter l’exposition. Des mécanismes de verrouillage garantissent une collaboration sécurisée, tandis qu’une surveillance détaillée offre une visibilité sur toutes les actions utilisateur. Les journaux d’audit détaillés enregistrent chaque transaction, permettant des revues régulières pour s’assurer du respect des politiques. En combinant des fondations d’accès centrées sur l’identité et une visibilité avancée, Kiteworks permet une gouvernance proactive des partenariats externes. Les experts peuvent analyser les usages pour optimiser les autorisations et détecter d’éventuelles anomalies. Les limitations d’accès préventives et les contrôles de détection contribuent à la réduction des risques et à la conformité réglementaire. Kiteworks est un élément clé d’un dispositif cyber sécurisé pour collaborer en toute sécurité avec des tiers.

Les organisations doivent également décrire les processus par lesquels ces personnes ou comités sont informés et surveillent la prévention, la détection, la remédiation et la correction des incidents de cybersécurité, ainsi que s’ils rapportent ces informations au conseil d’administration ou à un comité ou sous-comité du conseil. Kiteworks facilite la gouvernance et le reporting sur les risques cyber, comme l’exige le Règlement S-K, points 106(c)(ii) et (iii) de la SEC. L’utilisation des tableaux de bord, journaux d’audit et alertes de Kiteworks renforce la supervision et le reporting des incidents cyber. Le RSSI et le comité de gouvernance surveillent les analyses de sécurité de la plateforme pour repérer toute anomalie suspecte nécessitant une enquête et une remédiation. La journalisation détaillée de l’activité saisit chaque transaction utilisateur, permettant des audits réguliers pour vérifier le respect des politiques et détecter d’éventuelles menaces internes. En cas de violation confirmée, des notifications instantanées déclenchent les protocoles de réponse établis pour limiter l’impact. Les risques sont remontés au conseil soit directement par le RSSI, soit via le comité d’audit, qui inscrit la cybersécurité à l’ordre du jour. Kiteworks offre une visibilité continue, permettant aux experts de surveiller les efforts de prévention, de détecter rapidement les intrusions et de tenir la direction informée de la santé cyber. Les alertes et journaux détaillés répondent aux exigences de la SEC pour impliquer les dirigeants dans la gouvernance des risques cyber via une surveillance active et un reporting réactif.

Journaux d’audit et alertes de sécurité : visibilité et conformité

Pour répondre à ces exigences strictes, Kiteworks propose des fonctions essentielles de surveillance de la sécurité, de détection des incidents et d’audit forensique détaillé. Kiteworks fournit des journaux d’audit immuables, enregistrant toute l’activité des utilisateurs, administrateurs et fichiers sur sa plateforme sécurisée. Ces journaux centralisés facilitent la supervision régulière des risques cyber et l’analyse forensique rapide en cas d’incident. Les journaux d’audit établissent une traçabilité pour déterminer quelles données ont été consultées, quand, et par qui, afin d’évaluer l’impact d’une violation. Ils s’intègrent facilement aux solutions SIEM pour l’automatisation des alertes, du reporting et des workflows de réponse. De plus, les alertes configurables de Kiteworks informent les administrateurs en cas d’événements suspects, comme des échecs de connexion ou des transferts de fichiers inhabituels, pouvant signaler une menace. Ensemble, la journalisation avancée de l’activité et les alertes automatisées de Kiteworks offrent la visibilité sur les risques cyber et la détection précoce des menaces nécessaires à la conformité avec les règles de divulgation de la SEC. Les journaux d’audit permettent d’enquêter, de remédier et de déclarer rapidement tout incident cyber majeur dans le délai de quatre jours requis. Les alertes facilitent une surveillance proactive pour identifier plus vite les problèmes et limiter les impacts. Grâce à la traçabilité et aux alertes couvrant tous les outils de collaboration, Kiteworks renforce la supervision, la réponse aux incidents et les capacités forensiques indispensables à un reporting détaillé à la SEC. Les entreprises peuvent ainsi respecter les nouvelles exigences de transparence, protéger les données sensibles et préserver la confiance des investisseurs. En définitive, Kiteworks offre la visibilité, les contrôles et les tendances sur les menaces nécessaires pour prouver une gouvernance efficace des risques cyber, la résilience et la divulgation dans les délais.

La SEC exige désormais des déclarations détaillées sur les risques cyber et les violations majeures de données. Kiteworks propose les fonctions essentielles pour répondre à ces exigences, notamment des journaux d’audit détaillés retraçant l’activité et des alertes configurables pour détecter rapidement les menaces. La journalisation avancée de Kiteworks permet une analyse forensique rapide pour enquêter et déclarer les incidents dans le délai serré de quatre jours imposé par la SEC. Ses alertes facilitent une surveillance proactive pour identifier plus vite les problèmes et en limiter l’impact. En sécurisant l’accès aux contenus sensibles, en détectant les anomalies et en fournissant des journaux d’audit, Kiteworks aide les entreprises à prévenir, détecter et répondre aux incidents de cybersécurité. Ses fonctions de sécurité permettent aux sociétés cotées de respecter les exigences strictes de divulgation de la SEC, de préserver la confiance des investisseurs et de démontrer une gouvernance efficace des risques cyber. Pour les sociétés cotées, Kiteworks est un atout essentiel pour un reporting rapide et précis sur les incidents cyber désormais strictement encadré par la SEC.

 

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO
Partagez
Tweetez
Partagez
Explore Kiteworks