Le Département des services financiers de l'État de New York (DFS) a publié un règlement intitulé 23 NYCRR Part 500 (souvent appelé NYDFS NYCRR 500), qui établit des exigences en matière de cybersécurité pour les sociétés de services financiers afin de contrer les menaces émanant de diverses entités malveillantes. Le règlement, qui a été mis en œuvre par étapes, exige que chaque entité financière évalue son profil de risque spécifique et conçoive un programme de cybersécurité solide adapté à ses risques, la haute direction étant responsable de la supervision du programme et de la certification annuelle de conformité. Le règlement vise à protéger les informations relatives aux clients et les systèmes d'information des entités réglementées, afin de garantir la sécurité et la solidité des institutions ainsi que la protection des clients.

Quelles sont les organisations qui relèvent des mandats de conformité du NYDFS NYCRR 500 ?

Le règlement NYDFS NYCRR 500 sur la cybersécurité est obligatoire pour un large éventail d'institutions financières réglementées par le Département des services financiers de l'État de New York (DFS). Il s'agit d'entités telles que :

  • Banques et coopératives de crédit agréées par l'État
  • Prêteurs agréés
  • Prêteurs hypothécaires
  • Assureurs santé
  • Sociétés d'assurance
  • Sociétés holding
  • Organisations d'investissement et de fiducie
  • Planificateurs budgétaires et financiers
  • Encaissement de chèques et transmetteurs de fonds
  • Agences de financement des primes
  • Banques étrangères autorisées à New York

Principales dispositions du règlement NYDFS NYCRR 500

Le règlement NYDFS NYCRR 500 sur la cybersécurité exige des institutions financières qu'elles identifient et se défendent contre les menaces de cybersécurité, qu'elles mettent en place des systèmes de détection des événements de cybersécurité et qu'elles y répondent de manière efficace. Les institutions doivent également disposer de plans de récupération pour de tels événements et répondre à des exigences strictes en matière de rapports réglementaires afin de garantir la transparence et la responsabilité dans la gestion des cyber-risques.

Deux sections du NYDFS NYCRR 500 relatives à la sécurisation des candidatures méritent d'être signalées :

1. Exigences en matière d'évaluation des risques

  • Chaque entité doit procéder à une évaluation des risques afin d'orienter la conception de son programme de cybersécurité, en identifiant et en corrigeant les vulnérabilités. En particulier, les entreprises doivent mettre en place des procédures pour évaluer et tester la sécurité des applications développées en externe. Les entreprises doivent disposer de procédures et de lignes directrices écrites pour garantir la sécurité de toutes les applications développées en interne, ainsi que de processus formels pour évaluer et tester la sécurité des applications développées en externe.

2. Mise en œuvre du programme de cybersécurité

  • Les entités sont tenues de mettre en œuvre un programme de cybersécurité complet comprenant des mesures d'identification, de protection, de détection, de réponse et de récupération pour les événements de cybersécurité, y compris les applications mobiles populaires déployées par les organisations financières.

Verimatrix et NYDFS NYCRR 500

Verimatrix peut aider les organisations financières basées à New York à adhérer et à se conformer au NYDFS NYCRR 500 :

1. Exigences en matière d'évaluation des risques

  • Mesures à prendre : Utiliser le service d'évaluation des risques de sécurité des applications mobiles de Verimatrix pour réaliser des évaluations approfondies des applications mobiles et rédiger un rapport écrit détaillé des résultats, y compris le degré de sécurité de l'application et la manière dont sa sécurité peut être améliorée. Ils renforcent les applications avec Verimatrix XTD. Enfin, ils détectent les menaces et y répondent une fois que vos applications sont mises en circulation sur les magasins d'applications.
  • Avantage : le service de Verimatrix permet d'identifier et de traiter les vulnérabilités potentielles des applications mobiles, aidant ainsi les clients à répondre à l'exigence d'évaluation des risques du NYDFS NYCRR 500, qui oblige les entités à effectuer des évaluations des risques afin d'informer leurs programmes de cybersécurité.

2. Mise en œuvre du programme de cybersécurité

  • Action : Déployer la suite de solutions de cybersécurité de Verimatrix XTD via notre plateforme en ligne pour gérer et surveiller les cybermenaces qui pèsent sur votre écosystème d'applications, sécuriser vos applications mobiles, vos API, vos applications Web et de bureau/incorporées, et plus encore.
  • Avantage : La plateforme Verimatrix XTD permet aux clients de mettre en œuvre un programme de cybersécurité qui comprend des mesures d'identification, de protection, de détection, de réponse et de récupération pour les événements de cybersécurité liés aux applications, garantissant la conformité avec le règlement NYDFS NYCRR 500.
Alors que les responsables financiers new-yorkais adoptent les normes de cybersécurité du NYDFS NYCRR 500, il est essentiel de ne pas oublier les applications mobiles qui, pour de nombreuses organisations financières, sont devenues la principale méthode de communication des consommateurs avec les marques avec lesquelles ils font des affaires. La mise en œuvre efficace des mesures de sécurité obligatoires n'est pas seulement une question de conformité pour aider à renforcer les cyberdéfenses d'une entreprise, mais aussi de protection des informations des consommateurs et de leurs finances personnelles. La non-conformité peut entraîner des sanctions sévères, notamment des mesures d'application par le surintendant, des amendes, des poursuites judiciaires et bien plus encore, ce qui souligne à quel point le règlement NYDFS NYCRR 500 doit être pris au sérieux.

Sources :