Le 18 octobre 2011 (15:30) - par Stéphanie Chaptal
Suite aux multiples attaques dont ont été victimes les entreprises
américaines (comme la guerre Google contre la Chine, ou les différentes
attaques des Anonymous), l’US SEC (Security and Exchange Commission)
veut obliger les entreprises américaines à déclarer les cyber-attaques
dont elles sont victimes.
Qu’elles soient largement médiatisées, comme la guerre numérique entre Google et la Chine en 2010 ou les exactions des Anonymous,
les cyber-attaques contre les entreprises américaines inquiètent au
plus au point la SEC. La commission a donc publié jeudi soir une directive
à destination des entreprises côtées en Bourse (y compris au second
marché). Celle-ci précise dans quelles conditions et sous quelles formes
elles doivent indiquer toute compromission de donnée. Pour le sénateur
John Rockfeller, à l’origine de cette décision, « de la propriété
intellectuelle valant des milliards de dollars a été volée par les
cyber-criminels, et les investisseurs n’en ont rien su. Ce guide va tout
changer. Il va permettre au marché d’évaluer les entreprises en partie
sur leur capacité à garder leurs réseaux sécurisés. » Les sociétés
devront donc désormais mentionner les attaques dont elles ont été
victimes dans leurs rapports d’activité, ainsi que les mesures mises en
place (ou en cours de mise en place) pour y remédier et les prévenir.
Pour déterminer si une société doit ou non dévoiler les attaques dont elle a été victime, elle doit se baser sur différents critères : la probabilité d’une attaque, l’impact financier de celle-ci sur son activité (perte de données ou interruption de l’activité) ou sur celle de ses clients (insertion d’un malware dans ses produits qui va s’attaquer directement à ses clients). Concrètement, les entreprises les plus exposées comme les banques ou les gros cyber-marchands n’auront pas à signaler toutes les attaques journalières contre leur système, elles devront juste rapporter celles qui ont été victorieuses et ont entraîné un dommage réel pour leur activité ou celles de leur clients.
A l’heure actuelle, en Europe, il n’y a pas de réglementation similaire. La loi du silence prédomine toujours.
http://www.lemagit.fr/article/cybercriminalite-sec/9701/1/les-entreprises-americaines-bientot-contraintes-signaler-les-cyber-attaques/?utm_source=essentielIT&utm_medium=email&utm_content=new&utm_campaign=20111019&xtor=ES-6
Pour déterminer si une société doit ou non dévoiler les attaques dont elle a été victime, elle doit se baser sur différents critères : la probabilité d’une attaque, l’impact financier de celle-ci sur son activité (perte de données ou interruption de l’activité) ou sur celle de ses clients (insertion d’un malware dans ses produits qui va s’attaquer directement à ses clients). Concrètement, les entreprises les plus exposées comme les banques ou les gros cyber-marchands n’auront pas à signaler toutes les attaques journalières contre leur système, elles devront juste rapporter celles qui ont été victorieuses et ont entraîné un dommage réel pour leur activité ou celles de leur clients.
A l’heure actuelle, en Europe, il n’y a pas de réglementation similaire. La loi du silence prédomine toujours.
http://www.lemagit.fr/article/cybercriminalite-sec/9701/1/les-entreprises-americaines-bientot-contraintes-signaler-les-cyber-attaques/?utm_source=essentielIT&utm_medium=email&utm_content=new&utm_campaign=20111019&xtor=ES-6
Aucun commentaire:
Enregistrer un commentaire