Les entreprises américaines, bientôt contraintes de signaler les cyber-attaques

Qu’elles soient largement médiatisées, comme la guerre numérique entre Google et la Chine en 2010 ou les exactions des Anonymous, les cyber-attaques contre les entreprises américaines inquiètent au plus au point la SEC. La commission a donc publié jeudi soir une directive à destination des entreprises côtées en Bourse (y compris au second marché). Celle-ci précise dans quelles conditions et sous quelles formes elles doivent indiquer toute compromission de donnée. Pour le sénateur John Rockfeller, à l’origine de cette décision, « de la propriété intellectuelle valant des milliards de dollars a été volée par les cyber-criminels, et les investisseurs n’en ont rien su. Ce guide va tout changer. Il va permettre au marché d’évaluer les entreprises en partie sur leur capacité à garder leurs réseaux sécurisés. » Les sociétés devront donc désormais mentionner les attaques dont elles ont été victimes dans leurs rapports d’activité, ainsi que les mesures mises en place (ou en cours de mise en place) pour y remédier et les prévenir.

Pour déterminer si une société doit ou non dévoiler les attaques dont elle a été victime, elle doit se baser sur différents critères : la probabilité d’une attaque, l’impact financier de celle-ci sur son activité (perte de données ou interruption de l’activité) ou sur celle de ses clients (insertion d’un malware dans ses produits qui va s’attaquer directement à ses clients). Concrètement, les entreprises les plus exposées comme les banques ou les gros cyber-marchands n’auront pas à signaler toutes les attaques journalières contre leur système, elles devront juste rapporter celles qui ont été victorieuses et ont entraîné un dommage réel pour leur activité ou celles de leur clients.

A l’heure actuelle, en Europe, il n’y a pas de réglementation similaire. La loi du silence prédomine toujours.