Exigences en matière de cybersécurité de la NYDFS pour les entreprises de services financiers : la phase 4 commence maintenant

Michael Magrath, mars 1, 2019

Le New York State Department of Financial Services (NYDFS) réglemente environ 1 500 institutions financières et banques ainsi que plus de 1 400 compagnies d'assurance. Avec New York comme « capitale financière du monde », la grande majorité des institutions financières aux États-Unis. sous la réglementation NYDFS. En outre, de nombreuses organisations internationales ont des opérations à New York, et donc aussi tomber sous la réglementation NYDFS. Toutes ces banques et sociétés de services financiers doivent sécuriser leurs actifs et leurs comptes clients contre les cyberattaques conformément aux exigences de cybersécurité du NYDFS pour les sociétés de services financiers (23 NYCRR 500). En vertu de la réglementation, les banques et les fournisseurs de services financiers doivent sécuriser leurs propres systèmes et mettre en œuvre des programmes de gestion des risques par des tiers.

En réponse aux cyberattaques généralisées contre les États-Unis institutions financières, le NYDFS a promulgué le règlement sur la cybersécurité le 1er mars 2017. Le règlement exige des institutions financières qu'elles mettent en œuvre des politiques et des procédures spécifiques afin de mieux protéger les données des utilisateurs. Compte tenu de la liste exhaustive des dispositions du règlement, le NYDFS a prévu une période transitoire de deux ans pour la conformité en quatre phases.

Les institutions financières sont également tenues de soumettre une certification de conformité avec les règlements chaque année. La deuxième certification annuelle de conformité est pour l'année civile 2018. Cela devait être fixé le 15 février 2019, qui couvre le respect des phases 1 à 3 ci-dessous.

Quatre phases des exigences de cybersécurité de la NYDFS pour les sociétés de services financiers

Phase 1 (entrée en vigueur le 1er septembre 2017)

  • Article 500.02 - Élaborer et maintenir un programme de cybersécurité
  • Article 500.03 - Mettre en œuvre et maintenir des politiques écrites de cybersécurité
  • Article 500.04 - Désigner un agent en chef de la sécurité de l'information (CISO) pour faire respecter les politiques de cybersécurité de l'organisation et superviser la mise en œuvre du programme de cybersécurité
  • Article 500.07 - Limiter les privilèges d'accès des utilisateurs
  • Article 500.10 - Personnel et renseignement en cybersécurité : Assurer la formation et la connaissance des cybermenaces et contre-mesures actuelles
  • Article 500.16 - Produire un plan d'intervention en cas d'incident écrit
  • Article 500.17 - Dans les 72 heures suivant un événement de cybersécurité, des avis doivent être envoyés au surintendant

Phase 2 (entrée en vigueur le 1er mars 2018)

  • Article 500.04 (b) - L'OISC doit faire rapport sur les risques importants liés à la cybersécurité et le programme de cybersécurité dans son ensemble à la direction ou au conseil d'administration de l'organisation.
  • Article 500.05 - Mettre en œuvre des tests de pénétration annuels et des évaluations semestrielles de la vulnérabilité
  • Article 500.09 - Effectuer une évaluation périodique des risques
  • Section 500.12 - Authentification multifacteur (AMF)
    • Sur la base de l'évaluation des risques, chaque organisation doit utiliser des contrôles efficaces, qui peuvent inclure l'authentification fondée sur les risques ou l'authentification multifacteur, dans le but de protéger les systèmes d'information ou d'information non publics contre l'accès non autorisé.
    • L'AMF doit être utilisée pour toute personne ayant accès aux réseaux internes de l'organisation à partir d'un réseau externe (la seule exception est que le CISO de l'organisation a donné son approbation écrite pour l'utilisation de contrôles d'accès équivalents ou plus sécurisés)
  • Article 500.14 (b) - Fournir une formation sur la sensibilisation à la cybersécurité à tout le personnel
Authentification multifacteur

Authentification multifacteur

La suite complète de solutions d'authentification matérielle et logicielle de OneSpan assure la sécurité pour chaque cas d'utilisation.

Montrez-moi les options MFA

Phase 3 (entrée en vigueur le 1er septembre 2018)

  • Article 500.06 - Les pistes de vérification doivent être mises en œuvre pour détecter et réagir aux événements de cybersécurité, et l'organisation doit tenir des registres des transactions pendant au moins cinq ans et des registres d'événements de cybersécurité pendant au moins trois ans.
  • Article 500.08 - Sécurité des applications : Le programme de cybersécurité de l'organisation doit contenir des normes, des procédures et des lignes directrices documentées visant à assurer l'utilisation de pratiques de développement sécurisées pour les applications et les procédures internes afin d'évaluer le sécurité des applications développées par des tiers
  • Article 500.13 - Mettre en œuvre des limitations sur la conservation des données
  • Article 500.14 (a) - L'organisation doit élaborer des procédures, des politiques et des contrôles fondés sur les risques afin de surveiller l'activité des utilisateurs autorisés et d'identifier l'accès non autorisé à des renseignements non publics.
  • Article 500.15 - Assurer le cryptage des informations non publiques

Phase 4 (entrée en vigueur le 1er mars 2019) : Fin de la période transitoire de deux ans

Selon le règlement, article 500.11, sur la politique de sécurité pour les fournisseurs de services tiers, « L'organisation doit documenter les procédures et les politiques écrites pour s'assurer que les programmes de gestion des risques de tiers protègent les systèmes d'information et les l'information.

Les principales dispositions de ces politiques s'appliquent aux systèmes propres de l'institution financière, notamment :

  • Politiques et procédures écrites conçues pour protéger les utilisateurs contre les risques posés par les fournisseurs de services tiers
  • L'identification et l'évaluation des risques des fournisseurs de services tiers
  • Pratiques minimales de cybersécurité exigées des tiers
  • L'évaluation des pratiques de cybersécurité par des tiers par la diligence raisonnable
  • Évaluations périodiques fondées sur le risque

En outre, les politiques et procédures relatives aux fournisseurs de services tiers sont tenues d'inclure des lignes directrices pertinentes pour la diligence raisonnable ainsi que des protections contractuelles, en ce qui concerne :

  • Contrôles d'accès, y compris l'authentification multifacteur
  • Cryptage
  • Notifications à fournir à l'organisation principale en réponse à un événement de cybersécurité
  • Représentations et garanties pour les politiques et procédures de cybersécurité d'un tiers

Mise en œuvre de la phase 4 des exigences de cybersécurité du NYDFS pour les sociétés de services financiers

Bien que la phase 4 dome d'être mise en œuvre cette année, il est important de souligner que les banques et les institutions financières ne sont pas tenues de certifier leur conformité aux dispositions du règlement sur la gestion des risques des fournisseurs de services tiers avant le 15 février 2020.

En tant que client de plusieurs institutions financières basées à New York, je me sens beaucoup mieux de savoir que mes informations de compte sont sécurisées grâce à cette réglementation robuste. Les exigences de cybersécurité NYDFS pour les entreprises de services financiers contribuera grandement à protéger les données des utilisateurs contre les attaques malveillantes.

Michael Magrath est responsable de l'alignement de la feuille de route de la solution OneSpan avec les normes et les exigences réglementaires à l'échelle mondiale. Il est président du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l