L'autorité de régulation de Wall street dévoile de nouvelles règles en matière de piratage, de données et de résilience des marchés.

Le 15 mars 2023 à 15:10

La principale autorité américaine de régulation des marchés a annoncé mercredi un ensemble de propositions visant à renforcer le système financier contre le piratage, le vol de données et les pannes de système.

Lors d'une réunion publique, les cinq membres de la Securities and Exchange Commission devaient se prononcer sur trois propositions, qui s'inscrivent dans le cadre d'une préoccupation constante de modernisation des réglementations en fonction de l'évolution des menaces technologiques.

Les trois propositions de règles régissent la manière dont les courtiers traitent les incidents de piratage et protègent les données des consommateurs, et la manière dont les bourses, les chambres de compensation des transactions et d'autres organismes jugés essentiels à la sécurité économique nationale se prémunissent contre les pannes de système et les cyberintrusions.

Elles s'ajoutent aux mesures introduites depuis l'année dernière pour contrer ce que les autorités considèrent comme des dangers croissants pour les entreprises publiques et les investisseurs, et risquent d'alimenter les critiques selon lesquelles, sous la présidence de Gary Gensler, la SEC s'est lancée dans un programme d'élaboration de règles excessivement ambitieux, qui met à l'épreuve les limites de ses capacités.

Selon les propositions, les courtiers et les gestionnaires de fonds seraient tenus de mettre en place des programmes de détection et de réaction en cas d'accès non autorisé aux données et d'informer les clients concernés dans un délai de 30 jours.

Les courtiers-négociants, les bourses de valeurs et autres seraient également tenus de maintenir des politiques de risque de cybersécurité et d'informer "immédiatement" la SEC des incidents "importants". M. Gensler, dans des remarques préparées, a qualifié la proposition de "première à aborder explicitement les pratiques de cybersécurité pour la majorité de ces entités de marché".

L'obligation de notification immédiate est susceptible de faire sourciller les défenseurs du secteur. L'année dernière, une proposition similaire pour les entreprises d'investissement prévoyait une notification confidentielle dans les 48 heures, ce qui a suscité des objections selon lesquelles cela pourrait entraver les efforts visant à répondre rapidement aux incidents de piratage informatique.

M. Gensler a rappelé qu'en septembre, une unité de Morgan Stanley avait accepté de payer 35 millions de dollars pour répondre aux accusations de la SEC selon lesquelles elle n'avait pas protégé les informations personnelles sur une période de cinq ans.

En outre, la SEC a proposé d'élargir le nombre de bourses, d'agences de compensation enregistrées et d'autres entités couvertes par le règlement de 2014 sur la conformité et l'intégrité des systèmes, qui exige que les opérateurs construisent des systèmes suffisamment robustes pour soutenir les activités du marché.

L'amendement proposé exigerait également que ces opérateurs supervisent les services des fournisseurs d'informatique en nuage pour s'assurer qu'ils répondent aux exigences de la règle régissant la résilience des systèmes.

Accéder à l'article original.
Avertissement légal