Demandez une démo

NYDFS 23 NYCRR 500 : Comment satisfaire aux exigences en matière de gestion des risques liés aux tiers ?

La norme NYDFS 23 NYCRR 500 est conçue pour protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients des services financiers. Voici comment se conformer aux exigences clés concernant les risques liés aux tiers.
Par :
Scott Lang
,
VP, Marketing produit
27 février 2023
Partager :
Blog nydfs 23 crr 500 0223

Début 2017, le Département des services financiers de l'État de New York (DFS) a institué une réglementation visant à établir des exigences en matière de cybersécurité pour les sociétés de services financiers. Cette législation, connue sous le nom de 23 NYCRR 500, a été adoptée en réponse aux violations de données et aux menaces cyber qui augmentaient à un rythme alarmant, exposant des données sensibles et coûtant des millions de dollars aux organisations. La loi a été modifiée en novembre 2022 pour tenir compte des risques les plus récents pour les systèmes d'information et les données, les mises à jour devant entrer en vigueur en 2023.

Ce billet examine quelles organisations doivent se conformer à la loi, les principales dispositions relatives à la gestion des risques liés aux tiers dans le 23 NYCRR 500, et les meilleures pratiques pour satisfaire aux exigences.

Quelles sont les organisations qui doivent se conformer à 23 NY CRR 500 ?

Selon le règlement, "toute personne opérant ou devant opérer en vertu d'une licence, d'un enregistrement, d'une charte, d'un certificat, d'un permis, d'une accréditation ou d'une autorisation similaire en vertu de la loi bancaire, de la loi sur les assurances ou de la loi sur les services financiers, indépendamment du fait que l'entité couverte soit également réglementée par d'autres agences gouvernementales" est considérée comme une "entité couverte" et doit s'y conformer - même les organisations qui n'ont pas leur siège social à New York.

Cependant, il existe quelques exemptions à la loi. L'amendement de novembre 2022 a mis à jour les critères d'exemption pour exclure les entités couvertes avec :

  • moins de 20 salariés (y compris les entrepreneurs indépendants) ou
  • moins de 15 millions de dollars d'actifs totaux en fin d'année.

En outre, les modifications apportées au règlement en novembre 2022 désignent les entreprises de "classe A" afin d'imposer des exigences plus strictes aux organisations de services financiers de plus grande taille. Les entreprises de classe A sont celles dont le revenu annuel brut s'élève à au moins 20 millions de dollars pour chacune des deux dernières années fiscales, provenant des opérations commerciales de l'entité couverte et de ses affiliés dans l'État de New York et de l'État de New York :

  • plus de 2 000 employés en moyenne sur les deux derniers exercices, y compris ceux de l'entité couverte et de toutes ses filiales, quel que soit leur lieu d'implantation ; ou
  • plus d'un milliard de dollars de recettes annuelles brutes au cours de chacun des deux derniers exercices, provenant de l'ensemble des activités commerciales de l'entité couverte et de toutes ses sociétés affiliées.

Les entreprises de catégorie A doivent satisfaire à des exigences supplémentaires par rapport à toutes les entités couvertes, notamment

  • Réaliser des audits indépendants (en faisant appel à des auditeurs externes) du programme de cybersécurité au moins une fois par an, et faire appel à des experts externes pour réaliser une évaluation des risques au moins tous les trois ans.
  • Mise en place d'une gestion des accès privilégiés et d'une méthode automatisée de blocage des mots de passe les plus utilisés
  • Mise en œuvre d'un système de détection et de réponse des points d'accès pour surveiller les activités anormales (y compris les mouvements latéraux), et d'une solution centralisant la journalisation et l'alerte sur les événements de sécurité.

Avec les récentes pénalités du NYCRR 500 s'élevant à 4,5 millions de dollars, il est essentiel que les organisations comprennent l'impact de ce règlement sur elles.

Quelles sont les exigences du 23 NY CRR 500 ?

Conçue pour protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients ainsi que des systèmes informatiques, cette réglementation sur la cybersécurité impose aux entités concernées de prendre les mesures suivantes :

  • Maintenir un programme de cybersécurité comprenant des évaluations des risques, des audits indépendants et des documents d'appui (section 500.2).
  • mettre en œuvre et maintenir des politiques de sécurité de l'information fondées sur des évaluations des risques - y compris pour la gestion des fournisseurs et des prestataires de services tiers (section 500.3)
  • Nommer un responsable de la sécurité de l'information (CISO) qui doit être responsable du programme de cybersécurité de l'organisation, l'examiner et en rendre compte (article 500.4).
  • Inclure des technologies et des pratiques spécifiques en matière de cybersécurité (sections 500.5-500.10 ; 500.12-500.17)
  • Créer un programme de gestion des risques pour les tiers (section 500.11)
  • Déposer un certificat annuel confirmant la conformité avec ces règlements (Section 500.17b)

Comment satisfaire aux exigences de la norme 23 NYCRR 500 relative à la gestion des risques liés aux tiers ?

La gestion des contrôles de sécurité informatique et des politiques de confidentialité des données de vos fournisseurs est un élément clé de la conformité au 23 NYCRR 500. La section 500.11(a) traite directement de la politique de sécurité des fournisseurs de services tiers. Elle exige des entités couvertes qu'elles disposent d'une politique écrite qui traite de la sécurité des systèmes d'information des tiers sur la base d'une évaluation des risques, et elle exige que la politique couvre :

  • Identification et évaluation des risques de chaque tiers
  • Pratiques minimales de cybersécurité
  • Diligence raisonnable utilisée pour évaluer l'adéquation de leurs pratiques en matière de cybersécurité
  • Évaluation périodique du fournisseur en fonction du risque et de l'adéquation continue de ses pratiques de cybersécurité

L'article 500.11(b) décrit ensuite les politiques et procédures spécifiques sur lesquelles les entités couvertes doivent faire preuve de diligence raisonnable, telles que les contrôles d'accès, l'authentification multifactorielle (MFA), le cryptage et les rapports de réponse aux incidents. Les autres sections du règlement applicables à la gestion des risques des tiers sont les sections 500.16 (continuité des activités) et 500.17 (réponse aux incidents des tiers).

Quel sera l'impact de 23 NYCRR 500 sur votre programme TPRM ?

Téléchargez ce guide pour découvrir comment se conformer aux mandats d'évaluation des risques et de documentation des tiers, y compris ceux couverts par l'amendement de novembre 2022.

Lire la suite
Feature nydfs 23 nycrr 500 0223

Section 500.11 du 23 NYCRR

Mettre en œuvre des politiques et des procédures écrites destinées à garantir la sécurité des systèmes d'information et des informations non publiques qui sont accessibles à des prestataires de services tiers ou détenues par ceux-ci.

La mise en œuvre d'une politique de sécurité pour les fournisseurs de services tiers doit comprendre les éléments suivants :

  • une liste précise et complète des prestataires de services tiers, y compris l'identification des services spécifiques fournis par chaque tiers
  • Les pratiques de cybersécurité à suivre par les tiers, sur la base des politiques et des contrôles de sécurité de l'évaluation des risques de base de l'entité couverte.
  • Évaluation périodique des fournisseurs sur la base de ces exigences, y compris les processus de diligence raisonnable à utiliser.
  • Exigences contractuelles et directives applicables

PrevalentLa plateforme de gestion des risques liés aux tierces parties de la Banque mondiale permet aux institutions financières de répondre à ces exigences dans l'ensemble de leur écosystème de fournisseurs. Elle fournit une solution complète pour l'évaluation des risques liés aux fournisseurs, y compris :

  • Création d'un inventaire centralisé des fournisseurs
  • Évaluation des risques inhérents pour déterminer les exigences en matière de diligence raisonnable.
  • la capacité à intégrer des exigences de cybersécurité dans les contrats avec les fournisseurs et à évaluer ces derniers sur la base de leurs pratiques en matière de sécurité
  • Questionnaires basés sur les cadres et normes recommandés par le NY DFS
  • Un environnement permettant d'inclure et de gérer les preuves documentées en réponse
  • Flux de travail pour la gestion de l'examen et le traitement des conclusions
  • Des rapports solides pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances et les risques de chaque tiers.

La plateforme Prevalent comprend également cyber, une surveillance de l' activité, de la réputation et de l'information financière afin de détecter les menaces potentielles permanentes pesant sur une entité couverte.

Section 500.16 du 23 NYCRR

Établir des plans écrits contenant des mesures proactives pour étudier et atténuer les événements perturbateurs et assurer la résilience opérationnelle, y compris, mais sans s'y limiter, des plans de réponse aux incidents, de continuité des activités et de reprise après sinistre.

Garantir la résilience de l'entreprise devrait inclure l'automatisation de l'évaluation, de la surveillance continue, de l'analyse et de la correction des pratiques de résilience et de continuité de l'activité des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et d'autres cadres de contrôle. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301.

Section 500.17 du 23 NYCRR

Avis sur les événements liés à la cybersécurité.

Pour satisfaire à l'obligation de notifier le département des services financiers dans les 72 heures à compter du moment où vous avez connaissance d'un événement lié à la cybersécurité, établissez des plans proactifs de réponse aux incidents impliquant des tiers, qui comprennent :

  • Gestion centralisée des fournisseurs
  • Évaluer les événements de manière proactive (et permettre aux vendeurs de soumettre eux-mêmes des événements)
  • évaluer les risques identifiés par rapport à des seuils acceptables
  • Corrélation entre les réponses des fournisseurs et la surveillance continue du site cyber
  • Publier des orientations en matière de remédiation

Gestion de 23 NYCRR 500 Conformité avec Prevalent

Répondre efficacement aux exigences communiquées dans le 23 NYCRR 500 est une tâche impossible si vous comptez uniquement sur des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. La plateforme de gestion des risques des tiersPrevalent permet à votre institution de services financiers de répondre aux exigences du 23 NYCRR 500 dans l'ensemble de son écosystème de fournisseurs. La plateforme fournit :

  • Contrôle préalable automatisé des contrats pour s'assurer que les tiers ont mis en place des politiques de base en matière de sécurité de l'information afin de réduire l'exposition de votre entreprise aux risques.
  • Évaluations détaillées des risques inhérents et catégorisation des fournisseurs afin de déterminer les domaines dans lesquels des évaluations supplémentaires doivent être menées.
  • Une vaste bibliothèque de modèles de questionnaires sur les risques, permettant d'évaluer les fournisseurs en fonction des contrôles les plus importants pour votre entreprise.
  • Surveillance continue et complète des événements liés à la cybersécurité, en ajoutant un contexte aux résultats de l'évaluation et en les mettant en corrélation avec ces derniers.
  • Des programmes normatifs de continuité des activités et de réponse aux incidents afin de garantir que les tiers disposent des politiques et procédures nécessaires pour faire face aux nouveaux risques de cybersécurité.

Pour en savoir plus sur la mise en conformité avec le 23 NY CRR 500, téléchargez notre liste de contrôle de conformité ou contactez-nous pour planifier une démonstration.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo