Loi SHIELD de New York : Où la gestion des risques liés aux tiers entre en jeu

La loi SHIELD de New York entrera en vigueur en mars 2020 et aura plusieurs conséquences sur la gestion des risques liés aux tiers.
Par :
Scott Lang
,
VP, Marketing produit
27 août 2019
Partager :
Blog Ny Shield Août 2019

Signée par le gouverneur de New York le 25 juillet 2019, la loi Stop Hacks and Improve Electronic Data Security (SHIELD) est une loi sur la protection des données qui a élargi la définition des informations personnelles pour inclure le nom d'utilisateur et le mot de passe d'un compte en ligne et les données biométriques ; exige des contrôles spécifiques de sécurité des données pour les organisations afin de protéger les informations personnelles des résidents de New York ; et fixe des exigences spécifiques de notification des violations de données et des sanctions sur les organisations lorsque les données des résidents de New York ont été compromises.

En grande partie une mise à jour des lois précédentes de l'État de New York, la loi SHIELD entrera en vigueur le 21 mars 2020 et vise à améliorer les protections en matière de cybersécurité et la notification des violations de données, avec des amendes allant de 5 000 dollars par violation à 20 dollars par notification manquée (plafonnées à 250 000 dollars). À l'instar de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), si votre entreprise recueille des informations personnelles auprès d'un résident de l'État de New York - ou si vous échangez des informations avec un partenaire commercial qui le fait - la loi s'applique à vous, quel que soit le lieu où se trouve votre entreprise.

Exigences de conformité au SHIELD Act

La différence notable entre le SHIELD Act et les autres lois sur la protection des données est qu'il fournit des critères de conformité. La loi définit trois (3) types de sauvegardes pour mesurer la conformité - administrative, physique et technique - avec des exigences telles que

  • désigner et former des employés chargés de coordonner la conformité en matière de cybersécurité
  • Recourir à des prestataires de services tiers capables de maintenir des pratiques appropriées en matière de cybersécurité, avec des garanties exigées par contrat.
  • Évaluer le risque du programme de cybersécurité de l'entreprise, y compris la conception du réseau et des logiciels ainsi que le traitement, la transmission et le stockage des informations.
  • Appliquer des processus et des protections physiques pour détecter, prévenir et répondre aux attaques ou aux défaillances du système.
  • Contrôle et test de l'efficacité du programme de cybersécurité
  • Appliquer des processus pour éliminer les données de manière sûre, sécurisée et permanente dans un délai raisonnable après qu'elles ne sont plus nécessaires à des fins commerciales.
  • Mettre à jour le programme périodiquement pour tenir compte des changements dans l'entreprise ou des circonstances qui nécessiteraient une modification du programme.

Selon les définitions de la loi, la conformité peut être obtenue (appelée "sphère de sécurité") si une organisation répond aux exigences de la règle de sauvegarde de la GLBA, de la HIPAA ou de la partie 500 du règlement 23 NYCRR - bien que la loi ne soit pas claire sur la manière dont une organisation peut prouver qu'elle est conforme à l'un de ces régimes réglementaires.

Considérations sur la gestion des risques liés aux tiers

Il existe plusieurs domaines dans lesquels les relations commerciales avec des tiers devront être prises en compte pour assurer la conformité au NY SHIELD Act. Nous utiliserons les puces de la section ci-dessus pour identifier ces domaines spécifiques et poserons plusieurs questions pour déterminer si votre organisation est prête à se conformer au SHIELD Act. Veuillez consulter le texte de la loi pour une vue complète des exigences. Le tableau ci-dessous ne doit pas être interprété comme des recommandations de conformité - il s'agit simplement de questions permettant d'évaluer ce que votre organisation pourrait avoir à traiter.

Loi SHIELD de New York

Exigence Examen de contrôle
Recourir à des prestataires de services tiers capables de maintenir des pratiques appropriées en matière de cybersécurité, avec des garanties exigées par contrat.


  • L'organisation procède-t-elle à des évaluations de tiers basées sur les contrôles internes, en fonction des exigences des lois applicables telles que la GLBA, la HIPAA ou le NYCRR Part 500 ?
  • L'organisation surveille-t-elle les réseaux externes de tiers et utilise-t-elle des renseignements sur les risques commerciaux tels que les événements d'actualité, les finances, les licenciements, les changements de direction, les poursuites judiciaires, etc. qui peuvent servir de prédicteurs de vulnérabilités futures ?
  • Existe-t-il un processus défini pour identifier, classer, hiérarchiser et gérer les risques à un niveau acceptable ?
  • L'organisation dispose-t-elle d'un processus de flux de travail défini pour faire remonter les risques identifiés en vue d'y remédier ?


Évaluer le risque du programme de cybersécurité de l'entreprise, y compris la conception du réseau et des logiciels ainsi que le traitement, la transmission et le stockage des informations.


  • L'organisation utilise-t-elle l'analyse de la vulnérabilité des réseaux externes ainsi que de multiples sources externes pour obtenir des renseignements sur les menaces à l'adresse cyber ?
  • Outre la surveillance externe, l'organisation effectue-t-elle des tests de pénétration pour mettre en évidence les vulnérabilités ?
  • L'organisation surveille-t-elle les relations entre les différents tiers afin d'avoir une visibilité sur la manière dont les informations personnelles pourraient être partagées ?


Contrôle et test de l'efficacité du programme de cybersécurité

  • Existe-t-il une piste d'audit centrale qui garde la trace de toutes les interactions entre les fournisseurs et l'organisation ?
  • Existe-t-il un registre central des risques pour centraliser tous les risques identifiés à partir des défaillances du contrôle interne ou des résultats de l'analyse externe cyber , de sorte qu'un score de risque clair soit communiqué ?
  • Existe-t-il une capacité de rapport en direct pour montrer les risques existants et les effets des remèdes prévus ?
  • Existe-t-il des rapports spécifiques à la conformité indiquant le pourcentage d'atteinte ou de progression vers la conformité ?


Mettre à jour le programme périodiquement pour tenir compte des changements dans l'entreprise ou des circonstances qui nécessiteraient une modification du programme.


L'organisation dispose-t-elle d'options pour maintenir la flexibilité du programme, notamment :


  • Plusieurs options de questionnaire standard du secteur, avec la possibilité d'en personnaliser un en fonction de l'entreprise ?
  • Définir des calendriers d'évaluation pour déterminer les tiers à évaluer avec des rappels de poursuite automatisés ?
  • La possibilité d'externaliser la collecte et l'analyse des enquêtes auprès des fournisseurs afin de concentrer les équipes internes de gestion des risques sur la gestion des risques ?
  • Tirer parti des enquêtes pré-remplies et des preuves fournies par les fournisseurs pour accélérer le processus de gestion des risques ?



Comment Prevalent peut aider à répondre aux exigences du SHIELD Act en matière de gestion des risques liés aux tiers.

Prevalent offre la seule plate-forme unifiée spécialement conçue pour la gestion des risques liés aux tiers. La plateforme Prevalent combine des évaluations automatisées des fournisseurs, une surveillance continue des menaces, un flux de travail d'évaluation et une gestion des mesures correctives tout au long du cycle de vie des fournisseurs, avec des services de conseil et d'expertise, un réseau et des options externalisées pour optimiser votre programme de gestion des risques. Avec plus de 50 options de questionnaires intégrés - y compris pour NYCRR 500 et d'autres utiles pour le SHIELD Act - Prevalent peut aider les organisations à obtenir une vue à 360 degrés des fournisseurs pour simplifier la conformité, réduire les risques et améliorer l'efficacité d'un programme évolutif de gestion des risques liés aux tiers.

Surveillez l'apparition d'autres options de questionnaire spécifiques à la loi SHIELD dans la plateformePrevalent et n'hésitez pas à nous contacter dès aujourd'hui si vous avez des questions sur l'impact de la loi SHIELD sur votre organisation. En attendant, n'oubliez pas de télécharger notre livre blanc sur la conformité, qui détaille les exigences en matière de gestion des risques liés aux tiers dans de nombreuses réglementations et normes et qui présente les capacités de Prevalentdans ces régimes.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo