La réglementation sur la cybersécurité du NYDFS est un ensemble de régulations émanant du Département des services financiers de New York. Cette législation impose des exigences en matière de cybersécurité à toutes les institutions financières opérant à New York. Elle stipule que toutes les entreprises régulées par le DFS doivent avoir des plans de cybersécurité, des politiques et maintenir des systèmes de rapport détaillés pour les événements de cybersécurité.
Le principal objectif de cette réglementation est de protéger les informations privées sensibles pouvant être utilisées pour identifier des individus. Continuez à lire cette page pour découvrir les aspects les plus importants de la réglementation sur la cybersécurité du NYDFS, les institutions financières concernées et les pénalités en cas de non-conformité.
Qui sont les entités couvertes par la réglementation sur la cybersécurité du NYDFS ?
En ce qui concerne les entités sous le NYDFS, cette législation définit précisément tous les sujets qui relèvent de cette réglementation. La liste du NYDFS inclut les types d'entreprises suivants :
- Banques à charte d'État
- Banquiers privés
- Prêteurs agréés
- Compagnies d'assurance
- Fournisseurs de services
- Sociétés hypothécaires
- Banques étrangères avec une licence pour opérer à NY
Si nous faisons un bref aperçu de cette liste d'entités sous le NYDFS, nous pouvons voir que les institutions financières couvertes incluent tous les individus, groupes ou corporations qui opèrent légalement en vertu des lois sur les services financiers de New York. Cette liste ne couvre que les grandes catégories d'entreprises, mais vous pouvez trouver une liste complète et détaillée sur le site officiel du DFS. Cela dit, il existe des exemptions à la réglementation sur la cybersécurité du NYDFS, qui incluent :
- Entreprises comptant moins de dix employés ;
- Entreprises ayant un revenu annuel brut de 5 millions de dollars ou moins provenant de leurs opérations à New York au cours des trois années précédentes ;
- Entreprises ayant moins de 10 millions de dollars d'actifs en fin d'année ;
- Groupes de risques caritatifs et étrangers opérant à New York.
Quels sont les composants clés de la réglementation sur la cybersécurité du NYDFS ?
Tout comme le RGPD largement connu, la réglementation sur la cybersécurité du NYDFS a été mise en œuvre en plusieurs phases pour permettre à chaque entreprise de développer un plan de réponse aux incidents efficace pour tous les événements possibles de cybersécurité. Il y a eu un total de quatre étapes dans la mise en œuvre de la réglementation sur la cybersécurité du NYDFS :
- La première phase - La première phase est entrée en vigueur le 18 février 2018. Elle couvrait des pratiques telles que la planification de la capacité et des performances, la sécurité des systèmes d'information, la sécurité systémique et réseau, et l'évaluation périodique des risques, parmi d'autres dispositions. Les entités couvertes doivent signaler toute violation de données ayant une probabilité raisonnable de causer des dommages matériels.
- La deuxième phase - La phase suivante est entrée en vigueur le 1er mars de la même année. Elle se concentre principalement sur les responsables de la sécurité des systèmes d'information, à qui il est demandé de préparer des rapports annuels incluant les politiques et procédures de cybersécurité de l'entreprise, l'efficacité des mesures actuelles, et les risques potentiels en matière de cybersécurité.
- La troisième phase - Mise en œuvre le 3 septembre 2018, la troisième phase se concentrait sur la fonctionnalité des programmes de cybersécurité des entités couvertes. À la fin de la troisième phase, chaque entreprise devait maintenir une base de données détaillée de ses pistes d'audit et de ses enregistrements. La troisième phase exige également que toutes les entités couvertes continuent d'évaluer les vulnérabilités, d'investir dans la sécurité des données, et de créer une infrastructure défensive conformément aux tests d'évaluation des risques précédemment effectués.
- La quatrième phase - La quatrième et dernière phase est entrée en vigueur le 1er mars 2019. À cette date, les entités couvertes devaient répondre à toutes les exigences en matière de cybersécurité mentionnées ci-dessus et mettre en place des pratiques de confidentialité adéquates. Elles devaient également développer une politique de gestion des risques écrite et inclure un cadre d'évaluation des risques tiers.
En plus des mesures couvertes dans les quatre phases ci-dessus, il existe également des exigences supplémentaires. Celles-ci incluent l'authentification multi-facteurs pour toutes les entités couvertes, les tests de pénétration pour l'évaluation des risques, l'utilisation du principe du moindre privilège, et l'utilisation de personnel qualifié et continuellement formé en cybersécurité.
Comment fonctionne la réglementation sur la cybersécurité du NYDFS ?
Les quatre phases que nous avons listées ci-dessus couvrent l'ensemble du processus que chaque entreprise doit entreprendre. En termes simples, la réglementation sur la cybersécurité du NYDFS exige que chaque organisation effectue une évaluation des risques et développe un plan de réponse aux incidents pour divers événements de cybersécurité. Cela inclut, au minimum, les aspects spécifiques suivants :
- Évaluations des risques - Réalisées périodiquement pour évaluer l'intégrité, la sécurité, la confidentialité et la disponibilité de l'infrastructure informatique de l'entreprise et des informations personnellement identifiables.
- Pistes d'audit - Les enregistrements doivent être conservés pendant cinq ans. Leur principal objectif est d'enregistrer et de répondre aux événements de cybersécurité.
- Limitations sur la rétention des données - Les entreprises sont tenues de développer des procédures pour l'élimination sécurisée des informations personnellement identifiables qui ne sont plus nécessaires aux fins commerciales.
- Plan de réponse aux incidents - Créer des plans écrits et documenter les processus internes pour répondre à différents événements de cybersécurité. Cela inclut les rôles et responsabilités, les plans de communication et toute autre remédiation nécessaire.
- Privilèges d'accès - Limiter strictement les privilèges d'accès aux informations personnellement identifiables de l'utilisateur et effectuer des contrôles périodiques de ces privilèges.
- Avis au surintendant - Notifications au Département des services financiers dans les 72 heures suivant la détection d'un événement de cybersécurité.
Pénalités pour non-conformité à la réglementation sur la cybersécurité de New York
Bien que la non-conformité à la réglementation sur la cybersécurité du NYDFS puisse inévitablement entraîner des amendes importantes, des pénalités et des coûts juridiques, les montants exacts des pénalités ne sont pas indiqués dans la réglementation. Cela est un peu frustrant, car cela donne l'impression que le Département des services financiers n'est pas intéressé à établir une communication claire.
Si vous cherchez les pénalités exactes de la réglementation sur la cybersécurité du NYDFS pour non-conformité, vous trouverez simplement une déclaration indiquant que les amendes pour non-conformité seront calculées. Cela dit, le manque d'informations précises concernant les pénalités ne signifie pas que vous devez ignorer les régulations imposées par cette législation, car la réglementation sur la cybersécurité du NYDFS est maintenant en pleine vigueur.
Liste de vérification de la conformité à la réglementation sur la cybersécurité du NYDFS
Étant donné que la réglementation sur la cybersécurité du NYDFS est en pleine vigueur, chaque organisation qui correspond aux critères définis doit répondre aux exigences énumérées dans la liste de vérification de conformité. Pour se conformer à la réglementation du NYDFS, les organisations doivent :
- Évaluer si leur entreprise est classée comme couverte par cette réglementation sur la cybersécurité
- Assembler une équipe sous la responsabilité du RSSI chargée de la gestion quotidienne de la conformité à la réglementation
- Effectuer une évaluation des risques pour identifier les événements de cybersécurité, les menaces et comprendre leur profil de risque
- Investir dans la gestion continue des risques
Bien que certaines préoccupations existent quant à savoir si cette réglementation pourrait être trop robuste et compliquée à respecter, elle fournit un mécanisme fiable qui peut permettre aux entreprises de garder le contrôle et de protéger les informations sensibles des utilisateurs. C'est une réglementation bienvenue qui contribuera sans aucun doute à améliorer la résilience cybernétique mondiale à l'avenir.
Cela dit, travailler sur l'évaluation des risques et tous les autres événements de cybersécurité avec une entreprise experte en cybersécurité peut grandement contribuer à garantir la conformité à la réglementation sur la cybersécurité du NYDFS. Les experts en cybersécurité peuvent vous aider à protéger vos données plus efficacement et à prévenir et surveiller toute vulnérabilité de sécurité.
Si vous recherchez une solution de cybersécurité prête à renforcer la conformité - consultez la solution d'entreprise Hideez ou planifiez une démonstration gratuite :