Un regard sur les enjeux pertinents : Cybersécurité et A&D
Les chefs de la sécurité de l’information ont une tâche assez difficile à accomplir pour protéger leur organisation et leurs clients, mais ils doivent de plus en plus se soucier de se protéger eux-mêmes. La Securities and Exchange Commission (SEC) des États-Unis a tout d’abord braqué ses projecteurs sur cet enjeu en proposant des règles de divulgation radicales, qui ont récemment été suivies par une règle exigeant la divulgation des incidents de cybersécurité dans les quatre jours suivant la date à laquelle une entité a établi que l’incident était important, puis elle a ensuite engagé des poursuites à l’encontre d’un chef de la sécurité de l’information.
Le 30 octobre 2023, la SEC a poursuivi SolarWinds Corp., ainsi que son chef de la sécurité de l’information, M. Tim Brown, sur la base d’allégations « d’inexactitudes, d’omissions et de stratagèmes qui dissimulaient à la fois les mauvaises pratiques de cybersécurité de l’entreprise et ses risques de cybersécurité accrus et croissants » relativement à la cyberattaque de 2020 de la chaîne d’approvisionnement sur la plate-forme Orion de l’entreprise. Plus précisément, selon la plainte de la SEC déposée dans le district sud de New York, la base de ces allégations est la divergence entre ce que Tim Brown a divulgué dans des documents internes de l'entreprise et ce qui a été réellement communiqué aux investisseurs dans plusieurs divulgations publiques, y compris « une déclaration de sécurité » sur son site Web et des rapports déposés auprès de la SEC.
C'est la première fois que la SEC poursuit une entreprise victime d’une cyberattaque (bien qu’en mars, la SEC ait à la fois inculpé la société de logiciels éducatifs Blackbaud et conclu avec elle une entente relativement à des déclarations trompeuses au sujet d’une attaque par rançongiciels en 2020). C’est également la première fois que la SEC poursuit un chef de la sécurité de l’information (elle n’a toutefois poursuivi aucune autre personne dans cette affaire). Si le chef de la sécurité de l’information a ainsi été mis en cause par la SEC, c’est parce qu’il aurait été « le principal responsable de l’élaboration et de l’approbation de la déclaration de sécurité avant qu’elle ne soit publiée » et qu’il « a diffusé la déclaration de sécurité, ou un lien vers la déclaration de sécurité, aux clients qui souhaitaient obtenir de plus amples renseignements sur les pratiques de sécurité de SolarWinds ».
En plus de la réparation pécuniaire, la SEC exige que le chef de la sécurité de l’information de SolarWinds soit exclu de façon permanente à titre de dirigeant et administrateur. Il convient de noter que le chef de la sécurité de l’information de SolarWinds avait déjà été poursuivi, ainsi que la société et d’autres dirigeants, dans le cadre d’un recours collectif en valeurs mobilières qui a récemment fait l’objet d’un accord de règlement se chiffrant à 26 millions de dollars. Au cours des dernières années, quelques autres chefs de la sécurité de l’information ont été cités à comparaître dans des litiges privés, mais à la lumière des faits et de l’intérêt de la SEC, SolarWinds peut être considéré comme un cas particulier.
Une autre soi-disant première dans le cadre de la plainte de la SEC contre SolarWinds et son chef de la sécurité de l’information est l’utilisation de l’article 13 de la Securities Exchange Act (pour 6 des 10 chefs d’accusation). Les avocats de la défense ont déclaré que l’application par la SEC de l’article 13(b)(2)(B) de la Securities Exchange Act de 1934, qui oblige les sociétés ouvertes à mettre en place un système de contrôles comptables internes interdisant l’accès aux actifs d’une société sans autorisation de la direction, entre autres choses, étend la définition des actifs visés par la présente loi pour inclure, en plus des actifs monétaires, le réseau de technologie de l’information, le code source et les produits.
Cette action sans précédent de la SEC a certainement attiré l’attention des chefs de la sécurité de l’information du monde entier et les amène à réévaluer s’ils sont adéquatement protégés.
Lorsqu’il s’agit de la couverture des chefs de la sécurité de l’information dans le cadre d’un contrat d’assurance cybersécurité, il est d’abord important de reconnaître que les chefs de la sécurité de l’information sont généralement assurés au titre de la plupart des contrats d’assurance cybersécurité en tant qu’employés de l’entité assurée, à condition qu’ils agissent en cette qualité. De plus, en tant qu’assurés, les chefs de la sécurité de l’information ont généralement droit à une couverture de responsabilité civile envers les tiers pour les réclamations, qui peuvent comprendre des mesures réglementaires portées contre eux et alléguant un acte fautif en matière de sécurité ou de protection des renseignements personnels.
Ce qui est préoccupant, cependant, c’est que la plupart des contrats d’assurance cybersécurité sont assorties d’une certaine forme d’exclusion des infractions aux lois sur les valeurs mobilières, ce qui peut empêcher les assurés d’être protégés contre les litiges ou les mesures réglementaires pour des infractions réelles ou présumées aux lois ou aux règlements sur les valeurs mobilières. Bien que certains contrats d’assurance cybersécurité prévoient des dérogations limitées à leurs exclusions relatives aux lois sur les valeurs mobilières, pour les mesures réglementaires prises en vertu du Règlement S-P de la SEC alléguant que les clients n’ont pas été avisés des politiques et pratiques en matière de protection des renseignements personnels, elles sont de plus en plus difficiles à souscrire et ne constituent pas le cœur des mesures que la SEC a prises contre le chef de la sécurité de l’information de SolarWinds. Par conséquent, bien que les contrats d'assurance cybersécurité puissent être la couverture de choix relativement aux réclamations présentées par des consommateurs ou des organismes de réglementation autres que la SEC, ce sont les contrats d’assurance des administrateurs et des dirigeants qui sont probablement les plus adaptées aux réclamations liées aux valeurs mobilières.
Dans une certaine mesure, la couverture au titre d’un contrat d'assurance responsabilité civile des administrateurs et dirigeants et celle d'un contrat d'assurance cybersécurité peut être mutuellement exclusive, selon la façon dont chaque contrat définit ce qui constitue des réclamations liées aux valeurs mobilières. Cependant, il est possible qu’il y ait des chevauchements (ce qui n’est pas nécessairement une bonne chose si cela mène à des accusations entre les assureurs) ou des lacunes, alors il convient de faire preuve de prudence.
Les administrateurs et les dirigeants bénéficient généralement d’une couverture substantielle en ce qui concerne les litiges, les enquêtes et les demandes de renseignements en matière de valeurs mobilières. Cependant, à la lumière des récents événements, les chefs de la sécurité de l’information se sont demandé s’ils avaient droit à cette couverture. Malheureusement, le statut de chef de la sécurité de l’information au titre d’un contrat visant les administrateurs et les dirigeants n’est pas toujours parfaitement clair, ce qui incite à redoubler d’efforts pour obtenir des précisions.
Dans le cas des entreprises privées et des organismes sans but lucratif, les contrats d’assurance responsabilité civile des administrateurs et des dirigeants désignent généralement tous les employés de l’organisation comme des personnes assurées et ne font pas de distinction entre la protection offerte aux cadres supérieurs et aux autres employés. Pour ces organisations, il ne devrait pas être nécessaire de modifier le libellé de manière proactive pour s’assurer qu'une couverture de base est en place. Dans le même ordre d’idées, bien que les clauses d’exclusion liées aux cyberrisques soient devenues courantes dans les contrats d’assurance des administrateurs et des dirigeants des entreprises privées et des organismes sans but lucratif, elles ne limitent généralement que la couverture de l’entité fournie par ces contrats et n’ont pas d’incidence sur la protection des assurés individuels tels que les chefs de la sécurité de l’information.
Dans le cas des sociétés ouvertes, le terme « administrateurs et dirigeants », désigné dans certains libellés de contrat comme «dirigeants» ou d’autres désignations similaires, sera défini de manière à inclure les dirigeants « dûment élus ou nommés ». Mais est-ce que toute personne ayant un titre d’administrateur est effectivement un « administrateur » ou un «cadre supérieur» aux fins de la couverture? Il y a peu de jurisprudence sur la question. Bien qu’il semble clair que le terme renvoie notamment aux fonctionnaires d’échelon supérieur qui sont désignés dans les dépôts de valeurs mobilières en tant que dirigeants en vertu de l’article 16 de la loi de 1934 sur les bourses de valeurs mobilières, au-delà de cela, la question peut devenir moins claire. Alors qu’un nombre croissant d’entreprises désignent désormais des chefs de la sécurité de l’information en tant que dirigeants en vertu de l’article 16, certaines entreprises ne le font toujours pas.
En règle générale, tous les « employés » seront des personnes assurées au titre d’un contrat d’entreprise publique en ce qui concerne les réclamations en valeurs mobilières. Les réclamations présentées par les actionnaires ou par la SEC sont susceptibles de correspondre à la plupart des définitions des réclamations liées aux valeurs mobilières, mais des problèmes peuvent survenir si un contrat ne couvre que les employés qui sont codéfendeurs. Toutefois, il faut retenir que dans la plupart des situations prévisibles comparables à l’affaire SolarWinds, le chef de la sécurité de l’information serait habituellement protégé, même s’il ne s’agit pas techniquement d’un dirigeant en vertu de l’article 16. Il convient également de noter que les contrats d’assurance qui prévoient une couverture pour examen ou enquête préalable à la présentation d’une réclamation aux personnes assurées fournissent habituellement (mais pas toujours) cette protection à tous les employés.
Un autre problème peut survenir lorsqu’une entreprise a recours à un chef de la sécurité de l’information pouvant être considéré comme un entrepreneur indépendant, mais qui a droit à une indemnisation de l’entité. Il est peu probable qu’une telle personne bénéficie d’une couverture complète sans avoir négocié un avenant.
Nonobstant la couverture relative aux réclamations liées aux valeurs mobilières prévue par les contrats d’assurance des administrateurs et des dirigeants, comme nous l’avons vu précédemment, il existe des réclamations prévisibles au titre desquelles un chef de la sécurité de l’information ne faisant pas partie de la haute direction d’une société ouverte pourrait être impliqué et où la couverture peut être problématique :
Comme nous l’avons vu précédemment, nous espérons que les deux premiers scénarios de réclamations ci-dessus seraient couverts au titre d'un contrat d’assurance cybersécurité. Toutefois, afin de tenir compte du troisième scénario et de tout autre doute ou incertitude qui pourrait subsister, les avenants sont de plus en plus courants et pourraient être souhaitables pour clarifier la couverture des chefs de la sécurité de l’information, allant des clarifications de base à une protection accrue.
Bien que les expositions potentielles des chefs de la sécurité de l’information prolifèrent, ceux-ci peuvent être rassurés par le fait que les contrats d’assurance cybersécurité et administrateurs et dirigeants offrent une protection substantielle, surtout si la couverture est coordonnée de manière optimale. De plus, des clarifications et des améliorations sont disponibles et il peut s’avérer avantageux de travailler avec les courtiers pour les explorer.
Willis Towers Watson espère que vous avez trouvé les renseignements généraux fournis dans cette publication informatifs et utiles. Les renseignements contenus dans le présent document ne constituent pas des conseils juridiques ou d’autres conseils professionnels et ne doivent pas remplacer la consultation de vos propres conseillers juridiques. Si vous souhaitez obtenir de plus amples renseignements sur votre couverture d’assurance, n’hésitez pas à communiquer avec nous. En Amérique du Nord, Willis Towers Watson offre des produits d’assurance par l’entremise d’entités autorisées, dont Willis Towers Watson Northeast, Inc. (aux États-Unis) et Willis Canada Inc. (au Canada).
