Ces dernières années, le contexte de la cybersécurité a évolué rapidement, tout comme la réglementation qui l'encadre. À New York notamment, le Département des services financiers (DFS) a mis en œuvre son règlement sur la cybersécurité en 2017 face à la recrudescence des risques liés aux cyberattaques. À l'approche de 2022, il est essentiel pour toutes les entités réglementées de bien comprendre la réglementation du DFS de New York en matière de cybersécurité et ses mises à jour.
Aperçu de la réglementation du Département des services financiers de l'État de New York en matière de cybersécurité
La réglementation du Département des services financiers de l'État de New York (New York DFS) en matière de cybersécurité a été mise en place afin de garantir la sécurité et la solidité du secteur des services financiers new-yorkais, de protéger les informations sensibles des clients détenues par ces institutions et de sécuriser les systèmes informatiques dont elles dépendent pour leurs activités. Cette réglementation s'applique à toutes les institutions de services financiers agréées par le New York DFS, indépendamment de leur taille ou de la complexité de leurs opérations.
Les lignes directrices englobent plusieurs domaines critiques, tels que la mise en place d'un programme de cybersécurité, l'embauche d'un responsable de la sécurité des systèmes d'information (RSSI) qualifié, la mise en œuvre de politiques clés en matière de cybersécurité, le test régulier des défenses en matière de cybersécurité, la garantie que les fournisseurs tiers respectent également la réglementation, l'élaboration d'un plan d'intervention en cas d'incidents de cybersécurité, et bien plus encore.
Mises à jour de la réglementation de cybersécurité du Département des services financiers de l'État de New York en 2022
Portée du règlement
Les règles initiales s'appliquaient aux entreprises relevant de la compétence du DFS, mais à compter de 2022, elles s'appliqueront également aux prestataires de services tiers des entités réglementées de l'État de New York. Cette mesure vise à garantir une protection complète des données des clients.
Accent accru sur les évaluations des risques
La réglementation new-yorkaise en matière de cybersécurité du DFS met désormais davantage l'accent sur la réalisation d'évaluations des risques. Les institutions financières doivent identifier et évaluer les risques de cybersécurité propres à leurs activités et concevoir leurs programmes de cybersécurité en conséquence.
Politiques de cybersécurité renforcées
La réglementation actualisée renforce encore l'exigence de politiques de cybersécurité robustes. Les entreprises sont désormais tenues d'établir un ensemble de politiques approuvées par leur conseil d'administration ou un cadre supérieur.
Exigence relative à un plan de réponse aux incidents de cybersécurité
Une nouveauté importante pour 2022 est l'obligation d'établir un plan de réponse aux incidents écrit. Ce plan devra décrire les mesures réactives à prendre en cas de faille ou d'incident de cybersécurité.
Conformité aux réglementations de cybersécurité du Département des services financiers de l'État de New York
La mise en œuvre de la réglementation du Département des services financiers de l'État de New York (DFS) en matière de cybersécurité peut s'avérer complexe, mais elle est obligatoire pour les entités réglementées. Voici quelques stratégies pour faciliter une conformité réussie :
Comprendre clairement la réglementation
La première étape pour se conformer à la réglementation consiste à comprendre ses exigences exactes et comment les appliquer à vos opérations commerciales.
Évaluer la posture actuelle en matière de cybersécurité
Une évaluation approfondie de l'état actuel de la cybersécurité permettra de mettre en évidence les zones de vulnérabilité et celles qui nécessitent des améliorations pour se conformer aux normes réglementaires.
Élaborer un programme de cybersécurité
Élaborez un programme de cybersécurité conforme à la réglementation du Département des services forestiers de l'État de New York (DFS) . Ce programme devra inclure des politiques robustes, une gestion des risques, des procédures de formation et un plan de réponse aux incidents.
Audit et rapports réguliers
Après la mise en conformité initiale, des audits réguliers sont indispensables pour garantir le respect de la réglementation. De plus, celle-ci exige un rapport annuel au DFS sur l'état du programme de cybersécurité et sur tout incident majeur de cybersécurité.
En conclusion
En conclusion, la réglementation new-yorkaise en matière de cybersécurité du DFS (Département des services financiers) établit un cadre rigoureux, mais indispensable, permettant aux institutions financières de protéger leurs intérêts et ceux de leurs clients. Face à la recrudescence des menaces numériques, le respect de cette réglementation présente des avantages considérables, au-delà de la simple conformité. Par conséquent, toutes les entités réglementées doivent prendre des mesures concrètes pour comprendre et satisfaire aux exigences dans les délais impartis. Les mises à jour de 2022 mettent particulièrement l'accent sur l'évaluation des risques et la planification de la réponse aux incidents, deux éléments essentiels des normes actuelles de cybersécurité. Investir du temps et des ressources dans la conformité permettra donc de renforcer les institutions, non seulement contre les cybermenaces, mais aussi d'améliorer leur capacité opérationnelle globale et leur fiabilité face aux clients et au marché qu'elles servent.