Alors que les enjeux liés à la cybersécurité deviennent une priorité dans le secteur financier mondial, la Securities and Exchange Commission (SEC) des États-Unis suit le mouvement. En mai dernier, la SEC a voté à l’unanimité l’adoption d’un nouveau règlement sur la cybersécurité visant à garantir que les courtiers, conseillers en investissement et agents de transfert disposent de mesures solides pour détecter les violations de données et informer les clients potentiellement concernés.

Les entreprises concernées par ces nouvelles règles sont depuis longtemps soumises à des normes strictes en matière de protection des informations privées non publiques de leurs clients. Mais face à l’augmentation des cybercrimes, la SEC a jugé nécessaire de renforcer ces exigences. Les compromissions de données signalées sont passées de 1 801 à 3 205 entre 2022 et 2023, soit une hausse de 78 %. Les victimes de ces violations totalisent près de 350 millions de personnes, pour un coût record de 4,45 millions USD.

Avec l’entrée en vigueur de ces nouvelles règles — et d’autres à venir — il est essentiel de comprendre les mesures que les entreprises doivent désormais prendre pour protéger les données de leurs clients et les informer en cas d’incident cyber. Voici les points clés à retenir.

Points clés à considérer

• Les nouvelles règles américaines sont des amendements au règlement S-P, introduit en 2000 pour garantir que les sociétés d’investissement et les courtiers protègent les informations de leurs clients via des politiques et procédures écrites.
• Les institutions concernées doivent désormais intégrer un programme de réponse aux incidents dans leurs politiques écrites, conçu pour identifier et gérer les violations de données. Il est recommandé — mais non obligatoire — de réviser et mettre à jour ce programme régulièrement.
• Les procédures doivent inclure un plan pour évaluer la nature et l’étendue des incidents cyber et pour prendre les mesures appropriées afin de les contenir et les maîtriser.
• L’un des éléments clés de ces amendements est l’obligation de notifier toute personne dont les informations sensibles ont été ou sont susceptibles d’avoir été consultées ou utilisées sans autorisation en cas de violation.
• Les informations sensibles incluent non seulement les données non publiques des clients directs, mais aussi celles des clients d’autres institutions financières dont les données ont été partagées avec l’entreprise concernée. Cette définition élargie s’applique également aux règles de protection et de suppression des données.
• Les entreprises peuvent faire appel à des prestataires pour notifier les clients concernés, mais elles restent responsables du respect des obligations de notification.
• Les grandes entreprises disposent d’un délai de conformité de 18 mois, tandis que les plus petites ont 24 mois à compter de la publication des amendements au registre fédéral.

RRester conforme face à l’évolution des réglementations

Les incidents cyber sont de plus en plus fréquents et dommageables, tant pour les entreprises que pour les clients concernés. Il faut s’attendre à ce que de nouvelles réglementations visant à mieux protéger les victimes de violations de données soient bientôt adoptées. En réalité, ces amendements au règlement S-P ne sont qu’un des trois dispositifs de cybersécurité proposés par la SEC cette année.

Idéalement, des règles plus strictes profiteront à toutes les parties, mais elles impliquent des ajustements de conformité. Les entreprises doivent comprendre les subtilités de ces changements pour s’assurer qu’elles respectent pleinement les nouvelles exigences dans les délais impartis.

L’aspect le plus important de ces changements est l’obligation d’adopter un programme de réponse aux incidents et de l’intégrer dans les politiques et procédures. La conformité exige non seulement la preuve de l’existence d’un tel programme, mais aussi sa mise en œuvre efficace en cas de violation.

Les entreprises souhaitant rester conformes doivent identifier les acteurs clés de leur programme de réponse, leur attribuer des rôles précis et s’assurer qu’ils reçoivent une formation adaptée pour réagir rapidement et efficacement. Cette formation doit notamment inclure un plan de notification des clients.

Faire appel à des prestataires externes spécialisés peut non seulement garantir la conformité, mais aussi réduire considérablement les dommages financiers et réputationnels liés à une violation. L’externalisation permet d’accéder à une équipe d’experts et à des technologies de pointe pour renforcer la sécurité et répondre aux exigences de la SEC.

La simulation d’incidents cyber devient une pratique courante. Les prestataires peuvent aider à organiser ces exercices, qui offrent une expérience concrète et permettent d’identifier les failles du plan de réponse pour les corriger.

Conclusion

À mesure que l’usage des technologies dans le secteur financier évolue et que les violations de données se multiplient, de nouvelles règles et réglementations sont à prévoir. Rester conforme implique de surveiller les évolutions réglementaires, de comprendre leur impact sur vos politiques actuelles et d’anticiper les ajustements nécessaires.

Que vous travailliez en interne ou avec un prestataire externe, il est crucial de rester en avance sur ces évolutions, car la cybersécurité est sans aucun doute une priorité majeure pour la SEC aujourd’hui — et le restera dans les années à venir.