Comment le règlement sur la cybersécurité du NYDFS vous affecte-t-il ?

En mai 2017, le Département des services financiers de l'État de New York (NYDFS) a publié 23 NYCRR Part 500, une nouvelle règle de cybersécurité. Ce règlement est maintenant pleinement en vigueur, mais ce qu'il est exactement n'est peut-être pas clair.

Depuis son annonce, cet ensemble d'exigences a subi quelques changements, et son langage juridique peut ne pas être clair. Qu'est-ce que la réglementation NYDFS en matière de cybersécurité et quel impact a-t-elle sur vous? Regardons de plus près.

Quelle est la réglementation de la cybersécurité de NYDFS ?

La réglementation NYDFS sur la cybersécurité répertorie exigences de sécurité pour les services financiers à New York. À l'instar du règlement général européen sur la protection des données (RGPD), ces règles visent à protéger les données des citoyens en détenant des sociétés selon une norme spécifique. Dans ce cas, ces normes proviennent principalement de le cadre de cybersécurité du NIST.

En vertu de ces réglementations, les sociétés financières new-yorkaises doivent:

• Examiner périodiquement la sécurité et la confidentialité des données de leurs systèmes informatiques.
• Enregistrez les événements de cybersécurité et conservez ces enregistrements pendant cinq ans.
• Avoir des politiques et des procédures pour supprimer en toute sécurité les informations personnelles dont ils n'ont plus besoin.
• Limitez l'accès aux informations personnellement identifiables (PII) et révisez régulièrement ces privilèges.
• Avoir un plan écrit détaillé sur la découverte, la réponse et la récupération d'incidents de cybersécurité.
• Avertissez NYDFS dans les 72 heures suivant un événement de cybersécurité.

Contrairement à certaines lois similaires, la réglementation NYDFS sur la cybersécurité comprend des instructions détaillées sur la composition de ces plans de sécurité et de reporting. Il oblige également les entreprises à s'assurer que leurs tiers sont sécurisés, et pas seulement que leurs opérations internes le sont.

Ces exigences font de ce règlement l'un des plus larges et des plus stricts de tous les États. Les entreprises qui les enfreignent pourraient faire face à de lourdes amendes, mais l'étendue des sanctions n'est toujours pas claire.

À qui s'applique le règlement sur la cybersécurité du NYDFS ?

Le règlement de cybersécurité NYDFS s'applique à toute personne ou entité qui nécessite une licence du NYDFS. Cela couvre les sociétés financières et d'assurance à New York, y compris:

• Banques.
• Les coopératives de crédit.
• Sociétés d'investissement.
• Prêteurs agréés.
• Courtiers hypothécaires.
• Fournisseurs d'assurance.
• Associations d'épargne et de crédit.

Ces entités couvertes comprennent des entreprises locales et des sociétés étrangères autorisées à travailler à New York. Par exemple, même si Deutsche Bank est une entreprise allemande, elle doit se conformer à 23 NYCRR Part 500 puisque il opère à New York City.

Il y a quelques exceptions à cette liste. Les entreprises de moins de 10 employés, de moins de 5 millions de dollars de revenus annuels provenant de New York au cours des trois dernières années ou de moins de 10 millions de dollars d'actifs totaux en fin d'année sont exonérées. Il en va de même pour les entreprises qui ne stockent ou ne traitent pas d'informations privées, mais c'est peu probable pour une société de services financiers.

Que signifie pour vous le règlement sur la cybersécurité ?

Si vous vivez ou faites une banque dans l'État de New York, votre institution relève probablement de ces réglementations. Même si vous ne le faites pas, la réglementation sur la cybersécurité du NYDFS pourrait toujours s'appliquer à votre banque. S'il a une succursale opérant dans l'État et répond aux exigences financières, il devra s'y conformer.

En tant que client de la banque, vous n'avez aucune démarche à effectuer en vertu de ces exigences. Cependant, vous constaterez peut-être des changements dans le fonctionnement de votre institution financière ou de votre assureur. Vous devrez peut-être utiliser des étapes de sécurité supplémentaires telles que l'authentification multifacteur (MFA) ou ajuster vos autorisations car ces entreprises améliorer leurs mesures de cybersécurité.

Le NIST Cybersecurity Framework, qui a inspiré ces règles, comprend le partage d'informations en temps opportun, ce qui peut vous affecter. S'il y a un incident chez votre banque ou votre assureur, ils devront peut-être vous en informer. Vous n'aurez probablement rien à faire en réponse, mais vous pouvez vous attendre à recevoir ce type de messages.

Même si vous n'avez aucune obligation légale en vertu de 23 NYCRR Part 500, il est préférable de faire attention à vos informations financières. Utilisez toujours des mots de passe uniques et forts, activez le MFA lorsque cela est possible et ne donnez jamais de PII à une source inconnue. La rigueur de ces réglementations met en évidence l'importance de ces questions, alors soyez prudent.

Les gouvernements prennent la cybersécurité plus au sérieux

La réglementation NYDFS sur la cybersécurité est l'un des nombreux exemples récents de gouvernements locaux promulguant des lois sur la cybersécurité. Alors que les outils numériques deviennent de plus en plus courants dans la vie de tous les jours, ces règles ne feront que grandir.

Les consommateurs et les entreprises doivent se tenir au courant de ces réglementations pour s'assurer qu'elles sont conformes. Ces changements peuvent sembler compliquer les choses au début, mais ils sont une étape nécessaire vers une meilleure sécurité.

Comment le gouvernement vous espionne avec les données collectées

Vos comptes de réseaux sociaux et vos smartphones collectent des données vous concernant, et ces informations peuvent être utilisées par les agences gouvernementales. Voici comment et pourquoi.

Lire la suite

A propos de l'auteur