Les enquêtes sur les piratages des casinos sont évidemment toujours en
cours, mais les déclarations 8-K des deux sociétés arrivent à point
nommé compte tenu des règles de gestion des risques de cybersécurité
de la SEC finalisées en juillet de cette année et qui entreront en
vigueur à la mi-décembre. Ces incidents montrent l’impact qu’un
dépôt 8-K (ou l’absence de dépôt en temps voulu ou d’information)
peut avoir sur une entreprise.

Ils ont également des répercussions sur la communication de crise, les
relations avec les investisseurs et les ramifications juridiques
potentielles. N’oublions pas que les règles de la SEC ne sont pas
nouvelles ; cependant, l’obligation de publier dans les quatre jours
ouvrables a pris certains par surprise et ne laisse pas beaucoup de
temps aux entreprises pour se mettre en ordre de marche. Les conseils
d’administration et les dirigeants discutent souvent des processus à
mettre en place pour déterminer l’importance relative des
cyberincidents. La question de savoir quels événements sont
suffisamment graves pour être divulgués reste ouverte à
l’interprétation, et la définition peut également différer de celle
des incidents importants.

En l’absence de nouvelles orientations de la part de la SEC, il s’agit
d’une question de jugement. Nous assistons à l’essor d’initiatives
connexes, telles que le modèle FAIR d’évaluation de l’importance
relative, qui visent à combler certaines lacunes. D’aucuns pensent que
l’on assistera à une avalanche de déclarations avec un minimum de
détails, où les entreprises publiques déclareront juste ce qu’il faut
pour être en conformité avec les règles de la SEC et pour éviter les
litiges, la volatilité excessive du cours de l’action et/ou l’impact
sur la réputation de la marque. L’industrie doit attendre et voir
comment tout cela va se dérouler.