Dans un monde numérique en constante évolution, l'importance de la cybersécurité, notamment dans le secteur financier, est capitale. Pour sécuriser votre avenir financier, il est essentiel de comprendre et d'appliquer la réglementation du Département des services financiers de l'État de New York (NYDFS) relative à la cybersécurité, également appelée « conformité NYDFS ». Cette réglementation a été mise en place afin de protéger les consommateurs et de garantir la sécurité et la solidité du secteur des services financiers de l'État de New York. Vous trouverez ci-dessous un guide complet pour vous aider à comprendre comment vous conformer aux exigences du NYDFS et à maintenir cette conformité.
Comprendre la conformité du NYDFS
Les exigences de cybersécurité du NYDFS ont été établies en 2017 en vertu du règlement 23 NYCRR 500. Ce règlement impose aux organismes relevant de la loi bancaire, de la loi sur les assurances ou de la loi sur les services financiers de mettre en place et de maintenir un programme de cybersécurité robuste. Ce programme doit être conçu pour protéger les systèmes d'information et les informations non publiques de l'organisme.
Exigences fondamentales de conformité du NYDFS
Au cœur du sujet, plusieurs exigences spécifiques doivent être remplies par chaque institution financière dans le cadre de la conformité aux normes NYDFS. Celles-ci comprennent :
- Programme de cybersécurité : Les institutions financières doivent mettre en œuvre un programme de cybersécurité permettant d’identifier, d’évaluer, d’atténuer et de gérer efficacement les risques de cybersécurité. Ce programme doit également prévoir une infrastructure de défense et inclure des politiques et des procédures en matière de cybersécurité.
- Politique de cybersécurité : Une politique de cybersécurité détaillée doit être mise en place, abordant notamment des domaines tels que la sécurité de l’information, la gouvernance des données, la continuité des activités et la réponse aux incidents.
- Évaluation périodique des risques : Les organisations doivent entreprendre un processus d’évaluation périodique des risques mené au moins une fois par an, qui doit être documenté et révisé périodiquement.
- Responsable de la sécurité des systèmes d'information ( RSSI) désigné : Une personne qualifiée doit être nommée responsable de la sécurité des systèmes d'information (RSSI) pour superviser et mettre en œuvre le programme et la politique de cybersécurité de l'organisation.
Les exigences mentionnées constituent les éléments essentiels à la conformité aux normes du NYDFS. Toutefois, les institutions doivent être prêtes à adapter et à modifier leurs programmes de cybersécurité au fil du temps afin de tenir compte des évolutions technologiques et des menaces émergentes.
Maintien de la conformité
Le respect des exigences de la NYDFS ne se limite pas à la simple mise en œuvre des contrôles stipulés. Voici quelques pistes pour aider les institutions à maintenir leur conformité :
- Pistes d’audit : Pour détecter les incidents de cybersécurité et y répondre, les institutions doivent concevoir et maintenir des pistes d’audit efficaces. Ces pistes doivent être conservées en toute sécurité pendant au moins cinq ans.
- Privilèges d'accès : Limiter les privilèges d'accès des utilisateurs aux informations non publiques peut réduire considérablement le risque de réussite d'une cyberattaque.
- Personnel et renseignements en matière de cybersécurité : Il est indispensable de mobiliser un personnel compétent en cybersécurité, qui devra également bénéficier de formations et de mises à jour régulières pour faire face à l’évolution des menaces en matière de cybersécurité.
- Authentification multifactorielle : des contrôles d’accès sécurisés, notamment l’authentification multifactorielle (MFA), doivent être mis en œuvre, en particulier pour les personnes accédant à distance aux réseaux internes.
- Chiffrement : Les informations non publiques doivent être chiffrées à la fois « au repos » et « en transit » dans le cadre du programme de cybersécurité de l’entité.
Le rôle des prestataires de services tiers dans la conformité au NYDFS
Les institutions financières sont tenues de mettre en œuvre des politiques et des procédures visant à garantir la sécurité de leurs systèmes d'information et des informations non publiques accessibles aux prestataires de services tiers ou détenues par ces derniers. Ces politiques doivent inclure des évaluations des risques, des pratiques minimales de cybersécurité, des processus de diligence raisonnable et une évaluation périodique des prestataires de services tiers. Ceci garantit un environnement de sécurité complet et inviolable, préservant ainsi votre avenir financier.
En conclusion, le processus de mise en conformité avec la réglementation du NYDFS, bien que complexe, est essentiel à la protection de vos systèmes d'information et de vos données non publiques, garantissant ainsi un avenir financier plus sûr. Il est important d'établir et de maintenir un programme de cybersécurité complet, de réaliser des évaluations régulières des risques, de limiter les droits d'accès et de garantir une traçabilité rigoureuse. En vous tenant informé des exigences de la réglementation du NYDFS et en vous y adaptant, vous pouvez orienter votre organisation vers des mesures de cybersécurité renforcées, assurant ainsi la sécurité du secteur financier et, en définitive, un avenir financier serein.