Qu'est-ce que le règlement NYDFS sur la cybersécurité ?

Le NYDFS Cybersecurity Regulation est un ensemble de réglementations du Département des services financiers de New YorkCette législation impose des exigences de cybersécurité à toutes les institutions financières qui opèrent à New YorkIl stipule que toutes les entreprises réglementées par DFS doivent avoir des plans et des politiques de cybersécurité et maintenir des systèmes de rapport détaillés pour les événements de cybersécurité.

L'objectif principal de ce règlement est de protéger les informations privées sensibles qui peuvent être utilisées pour identifier des individusContinuez à lire cette page et découvrez les aspects les plus importants du règlement sur la cybersécurité du NYDFS, les institutions financières couvertes et les sanctions en cas de non-conformité

Qui sont les entités couvertes par le règlement sur la cybersécurité du NYDFS ?

En ce qui concerne les entités relevant du NYDFS, cette législation définit précisément tous les sujets qui relèvent de ce règlementLa liste NYDFS comprend les types d'entreprises suivants :

• Banques à charte d'État
• Banquiers privés
• Prêteurs agréés
• Compagnies d'assurance
• Fournisseurs de services
• Sociétés hypothécaires
• Banques étrangères avec une licence pour opérer à New York

Si nous faisons un bref aperçu de cette liste d'entités sous NYFDS, nous pouvons voir que les institutions financières couvertes incluent tous les individus, groupes ou sociétés qui opèrent légalement en vertu des lois sur les services financiers de New York.Cette liste ne couvre que les grandes catégories d'entreprises, mais vous pouvez trouver une liste complète et détaillée sur le site officiel de DFSCela dit, il existe des exemptions au règlement sur la cybersécurité du NYDFS, notamment :

• Entreprises de moins de dix employés ;
• Entreprises dont le chiffre d'affaires annuel brut est inférieur ou égal à 5 millions de dollars de leurs activités à New York au cours de chacune des trois années précédentes ;
• Entreprises avec moins de 10 millions de dollars d'actifs en fin d'année ;
• Groupes de risque caritatifs et étrangers opérant à New York

Quels sont les éléments clés du règlement NYDFS sur la cybersécurité ?

Tout comme le GDPR largement connu, le NYDFS Cybersecurity Regulation a été mis en œuvre en plusieurs phases pour permettre à chaque entreprise de développer un plan de réponse efficace aux incidents pour tous les événements de cybersécurité possiblesIl y a eu au total quatre étapes dans la mise en œuvre de la réglementation NYDFS sur la cybersécurité :

• La première phase - La première phase est entrée en vigueur le 18 février 2018Il couvrait des pratiques telles que la planification des capacités et des performances, la sécurité des systèmes d'information, la sécurité systémique et des réseaux et l'évaluation périodique des risques, entre autres dispositions.Les entités couvertes doivent signaler toute violation de données qui a une probabilité raisonnable de causer des dommages matériels
• La deuxième phase - La phase suivante est entrée en vigueur le 1er mars de la même annéeIl se concentre principalement sur les responsables de la sécurité de l'information, à qui il est demandé de préparer des rapports annuels qui incluent les politiques et procédures de cybersécurité de l'entreprise, l'efficacité des mesures actuelles et les éventuels risques de cybersécurité.
• La troisième phase - Mise en œuvre le 3 septembre 2018, la troisième phase était axée sur la fonctionnalité des programmes de cybersécurité des entités couvertesÀ la fin de la troisième phase, chaque entreprise doit conserver une base de données détaillée de ses pistes d'audit et de ses enregistrementsLa troisième phase exige également que toutes les entités couvertes continuent d'évaluer les vulnérabilités, d'investir dans la sécurité des données et de créer une infrastructure défensive dans le cadre des tests d'évaluation des risques précédemment réalisés.
• La quatrième phase - La quatrième et dernière phase est entrée en vigueur le 1er mars 2019À cette date, les entités couvertes doivent satisfaire à toutes les exigences de cybersécurité susmentionnées et avoir mis en place des pratiques de confidentialité adéquatesIls doivent également élaborer une politique écrite de gestion des risques et inclure un cadre d'évaluation des risques de tiers

Outre les mesures couvertes par les quatre phases ci-dessus, il existe également des exigences supplémentairesCelles-ci incluent l'authentification multifacteur pour toutes les entités couvertes, les tests d'intrusion pour l'évaluation des risques, l'utilisation du principe du moindre privilège et l'utilisation de personnel de cybersécurité qualifié et formé en permanence.

Comment fonctionne le règlement NYDFS sur la cybersécurité ?

Les quatre phases que nous avons énumérées ci-dessus couvrent l'ensemble du processus que chaque entreprise doit entreprendrePour le dire simplement, le NYDFS Cybersecurity Regulation exige que chaque organisation procède à une évaluation des risques et élabore un plan de réponse aux incidents pour divers événements de cybersécurité.Cela inclut, au minimum, les aspects spécifiques suivants :

• Évaluations des risques - Réalisées périodiquement pour évaluer l'intégrité, la sécurité, la confidentialité et la disponibilité de l'infrastructure informatique de l'entreprise et des informations personnelles identifiables
• Pistes d'audit - Les enregistrements devront être conservés pendant cinq ansLeur objectif principal est d'enregistrer et de répondre aux événements de cybersécurité
• Limites sur la conservation des données - Les entreprises sont tenues de développer des procédures pour l'élimination sécurisée des informations personnelles identifiables qui ne sont plus nécessaires à des fins commerciales
• Plan de réponse aux incidents - Créez des plans écrits et documentez les processus internes pour répondre aux différents événements de cybersécuritéIl comprend les rôles et les responsabilités, les plans de communication et toute autre solution au besoin
• Privilèges d'accès - Limitez strictement les privilèges d'accès aux informations d'identification personnelle de l'utilisateur et effectuez périodiquement des vérifications sur ces privilèges
• Avis au surintendant - Notifications au Département des services financiers dans les 7 heures suivant la détection d'un événement de cybersécurité

Pénalités en cas de non-conformité avec les réglementations sur la cybersécurité de New York

Bien que le non-respect du règlement sur la cybersécurité du NYDFS puisse inévitablement entraîner des amendes, des pénalités et des frais de justice importants, le montant exact des sanctions n'est pas indiqué dans le règlement.C'est un peu frustrant, car cela donne l'impression aux entreprises que le Département des services financiers n'est pas intéressé à établir une communication claire

Si vous deviez rechercher des pénalités précises pour non-conformité à la réglementation NYDFS sur la cybersécurité, vous trouveriez simplement une déclaration indiquant que les amendes pour non-conformité seront calculéesDans cet esprit, le manque d'informations précises en matière de sanctions ne signifie pas que vous devez ignorer les réglementations imposées par cette législation, car le règlement NYDFS sur la cybersécurité est désormais pleinement en vigueur.

Liste de contrôle de la conformité à la réglementation NYDFS sur la cybersécurité

Étant donné que le règlement sur la cybersécurité du NYDFS est pleinement en vigueur, chaque organisation qui répond aux critères définis doit répondre aux exigences répertoriées sur la liste de contrôle de conformitéPour se conformer au règlement NYDFS, les organisations doivent :

• Évaluer si leur entreprise est classée comme couverte par ce règlement sur la cybersécurité
• Mettre en place une équipe sous la direction du CISO responsable de la gestion quotidienne de la conformité à la réglementation
• Effectuer une évaluation des risques pour identifier les événements et les menaces de cybersécurité et comprendre leur profil de risque
• Investir dans la gestion continue des risques

Malgré les craintes que cette réglementation soit trop stricte et compliquée à respecter, elle fournit un mécanisme fiable qui permet aux entreprises de garder le contrôle et de protéger les informations sensibles des utilisateursIl s'agit d'un règlement bienvenu qui contribuera sans aucun doute à améliorer la cyber-résilience mondiale à l'avenir

Cela dit, travailler sur l'évaluation des risques et tous les autres événements de cybersécurité avec une société experte en cybersécurité peut contribuer grandement à garantir la conformité avec le règlement NYDFS sur la cybersécurité.Les experts en cybersécurité peuvent vous aider à protéger vos données plus efficacement et à prévenir et surveiller les vulnérabilités de sécurité

Si vous recherchez une solution de cybersécurité prête à renforcer la conformité, consultez Hideez Enterprise Solution ou planifiez une démonstration gratuite :