Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS

23 NYCRR 500: Naviguer dans la réglementation sur la cybersécurité de l'État de New York

Accueil Glossaire 23 NYCRR 500 : Naviguer dans la réglementation sur la cybersécurité de l'État de New York

En mars 2017, le Département des Services Financiers de l'État de New York (DFS) a introduit le 23 NYCRR 500, un ensemble de réglementations conçues pour protéger l'immense industrie des services financiers contre les menaces cybernétiques. Cette réglementation complète en matière de cybersécurité exige que les entreprises de services financiers établissent et maintiennent des programmes de cybersécurité garantissant la confidentialité, l'intégrité et la disponibilité de leurs systèmes d'information.

23 NYCRR 500

Le 23 NYCRR 500 s'applique à toutes les entreprises de services financiers opérant dans l'État de New York, notamment les banques, les coopératives de crédit, les compagnies d'assurance et autres institutions de services financiers. L'objectif de cette réglementation est de garantir que les entreprises de services financiers mettent en place des mesures de cybersécurité adéquates pour protéger les informations sensibles des clients contre les menaces cybernétiques. Pour se conformer, les sociétés financières doivent mettre en place des stratégies complètes de gestion des risques liés à la cybersécurité.

Les seules entreprises exemptées de cette réglementation sont celles qui répondent aux critères suivants :

  • Moins de 10 employés
  • Moins de 10 millions de dollars d'actifs totaux en fin d'année
  • Moins de 5 millions de dollars de revenus bruts au cours des trois dernières années

La Portée de la 23 NYCRR 500

La 23 NYCRR 500 s'applique à toutes les entreprises de services financiers réglementées par le Département des Services Financiers de l'État de New York (DFS). Cette réglementation exige des entreprises qu'elles établissent et maintiennent un programme de cybersécurité qui protège de manière adéquate leurs systèmes d'information contre l'accès non autorisé, la divulgation ou l'abus.

La réglementation exige également des entreprises qu'elles développent des politiques et des procédures écrites qui abordent les domaines suivants :

  • Sécurité de l'information
  • Gouvernance des données et classification
  • Contrôles d'accès et gestion des identités
  • Personnel et renseignements en cybersécurité
  • Planification et mise en œuvre de la réponse aux incidents
  • Gestion des fournisseurs et des prestataires de services tiers
  • Tests de pénétration annuels et évaluations des vulnérabilités
  • Évaluation des risques

Comment la 23 NYCRR 500 se Compare-t-elle à d'Autres Réglementations ?

La réglementation 23 NYCRR 500 est une exigence complète en matière de cybersécurité au niveau de l'État pour les institutions financières de l'État de New York, avec de nombreuses de ses dispositions chevauchant celles énoncées par le Cadre de Cybersécurité de l'Institut National des Standards et de la Technologie (NIST CSF), le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne (UE) et ISO 27001. En se conformant aux normes imposées par cette réglementation, les institutions financières de New York peuvent réduire les risques liés à la confidentialité et à la sécurité lors de la manipulation de données sensibles et se défendre contre les menaces cybernétiques visant leur infrastructure numérique.

Dispositions de la 23 NYCRR 500

Les réglementations 23 NYCRR 500 exigent que les entités mettent en place un programme de cybersécurité, une politique de sécurité des prestataires de services tiers, l'authentification multi-facteurs, le chiffrement des informations non publiques et un plan de réponse aux incidents.

Programme de Cybersécurité

La 23 NYCRR 500 stipule un programme de cybersécurité contenant des garanties administratives et techniques visant à protéger la confidentialité, l'intégrité et la disponibilité des systèmes d'information et des informations non publiques. Il devrait également inclure des évaluations des risques, des politiques et des procédures pour la protection des systèmes d'information, la surveillance et l'audit du système, ainsi que des plans de réponse aux incidents.

Politique de Sécurité des Prestataires de Services Tiers

La politique de sécurité des prestataires de services tiers décrit les étapes à suivre pour s'assurer que les prestataires de services disposent de mesures de sécurité et de processus appropriés pour protéger les informations non publiques. Elle devrait également inclure des exigences pour que les prestataires de services tiers protègent adéquatement les informations, identifient et réagissent aux incidents de sécurité, et notifient l'entreprise de tout incident de manière opportune.

Authentification Multi-facteurs

L'authentification multi-facteurs est une méthode de vérification de l'identité d'une personne en utilisant deux éléments de vérification indépendants ou plus. Cela peut inclure des mots de passe, des codes PIN, des données biométriques ou d'autres méthodes d'authentification.

Chiffrement des Informations Non Publiques

Les informations non publiques doivent être chiffrées tout au long de leur cycle de vie, y compris lorsqu'elles sont stockées, transmises ou consultées.

Plan de Réponse aux Incidents

Le plan de réponse aux incidents décrit les étapes à suivre en cas de violation du système ou d'accès non autorisé aux informations non publiques. Il devrait inclure des procédures pour répondre à l'incident, le contenir, informer les autorités compétentes et prendre des mesures correctives pour prévenir des incidents similaires à l'avenir.

Exigences Clés de la 23 NYCRR 500

Tout comme son nom l'indique, le 23 NYCRR 500 se compose de 23 exigences qui, prises dans leur ensemble, aident les organisations à reconnaître les menaces potentielles et à se défendre contre elles avant qu'une attaque ne se produise. Parmi les 23 exigences, les suivantes sont les plus remarquables :

  1. Établir et maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l'intégrité et la disponibilité de leurs systèmes d'information.
  2. Élaborer des politiques et des procédures écrites qui traitent des domaines mentionnés dans la section précédente.
  3. Nommer un Chief Information Security Officer (CISO) responsable de la mise en œuvre et de la supervision du programme de cybersécurité.
  4. Réaliser régulièrement des évaluations des risques pour identifier et évaluer les risques potentiels pour les systèmes d'information de l'entreprise.
  5. Développer et mettre en œuvre un plan de réponse aux incidents pour réagir rapidement et atténuer les événements liés à la cybersécurité.
  6. Offrir une formation régulière à la sensibilisation à la cybersécurité à tous les employés.
  7. Utiliser le chiffrement pour protéger les données sensibles en transit et au repos.

Sanctions en Cas de Non-Conformité

Le Département des Services Financiers de l'État de New York (DFS) peut imposer des sanctions pécuniaires civiles allant jusqu'à un maximum de 5 000 $ par violation et jusqu'à un maximum de 5 000 $ par jour tant que le contrevenant ne se conforme pas. De plus, le DFS peut émettre des ordres de cessation et de désistement, révoquer ou suspendre des licences et des certificats, ordonner à l'accusé de prendre des mesures correctives et/ou mener d'autres enquêtes ou procédures telles que définies par la loi. Enfin, toute personne qui viole sciemment et délibérément une disposition du 23 NYCRR 500 peut faire l'objet de poursuites criminelles et d'une éventuelle peine d'emprisonnement.

Meilleures Pratiques pour la Conformité avec le 23 NYCRR 500

Il est essentiel pour les organisations de comprendre les réglementations 23 NYCRR 500 et de mettre en œuvre les meilleures pratiques afin de rester en conformité. Les meilleures pratiques suivantes doivent être prises en compte :

Comprendre les Obligations Légales de Votre Entreprise

En tant qu'entreprise, il est essentiel de comprendre toutes les exigences réglementaires applicables à votre entreprise. Être conscient des exigences légales contribue à garantir la conformité avec le 23 NYCRR 500.

Mettre en Place un Programme de Cybersécurité Complet

Un programme de cybersécurité complet est essentiel pour protéger les données, les systèmes et les réseaux contre les menaces cybernétiques. Ce programme devrait inclure des politiques, des procédures et des technologies conçues pour protéger et surveiller contre les menaces.

Former les Employés

Dans le cadre du programme de cybersécurité, il est important de former les employés aux politiques et aux procédures. Cette formation devrait couvrir des sujets tels que l'identification des e-mails de phishing et les meilleures pratiques pour sécuriser les données.

Établir un Processus de Gestion des Risques

Établir un processus de gestion des risques liés à la cybersécurité qui évalue les risques potentiels pour l'organisation, documente les risques et identifie des moyens de les atténuer est essentiel pour être en conformité avec le 23 NYCRR 500.

Surveiller et Entretenir les Systèmes de Sécurité

Les systèmes de sécurité tels que les pare-feu et les logiciels antivirus doivent être surveillés et entretenus pour s'assurer qu'ils fonctionnent correctement et sont à jour. Des analyses de sécurité régulières doivent être effectuées pour identifier d'éventuelles vulnérabilités.

Élaborer un Plan de Réponse aux Incidents

Avoir un plan de réponse aux incidents en place est essentiel pour réagir aux incidents de sécurité. Ce plan devrait décrire les processus de réponse et d'atténuation des incidents.

Établir une Gestion des Fournisseurs Tiers

Établir et gérer les relations avec les fournisseurs tiers est important pour garantir que tous les fournisseurs respectent le 23 NYCRR 500. Il est essentiel d'évaluer les fournisseurs pour s'assurer que leurs mesures de sécurité répondent aux exigences de l'organisation.

Assurer la Confidentialité des Données avec le Réseau de Contenu Privé Kiteworks

Une des meilleures approches pour aider à la conformité avec le 23 NYCRR 500 est d'utiliser une technologie qui prend en charge la confidentialité des données. Le chiffrement, la gestion et la visibilité des données, les contrôles automatisés et les mises en œuvre techniques des politiques de gouvernance, de gestion des risques et de conformité peuvent contribuer grandement à soutenir de tels efforts. Les entreprises doivent comprendre à la fois leurs obligations légales et leur position éthique en ce qui concerne la protection de la vie privée des données des utilisateurs.

Le Réseau de Contenu Privé Kiteworks unifie, suit, contrôle et sécurise les communications de contenu sensible sur une seule plateforme. Une gouvernance centralisée permet aux organisations de services financiers de démontrer leur conformité avec les réglementations en matière de protection des données et de cybersécurité, telles que le 23 NYCRR 500, le Federal Information Security Management Act (FISMA), l'Autorité de régulation de l'industrie financière (FINRA), la Règle de sauvegarde de la FTC, le Gramm-Leach-Bliley Act (GLBA), et d'autres.

Les communications de données par fichiers et par e-mail envoyées et partagées via le Réseau de Contenu Privé Kiteworks sont enveloppées par l'appliance virtuelle renforcée Kiteworks, qui utilise un pare-feu réseau intégré, une WAF, un accès de confiance zéro avec les privilèges minimums, et minimise la surface d'attaque. Découvrez comment le Réseau de Contenu Privé Kiteworks permet aux organisations financières de démontrer leur conformité avec le 23 NYCRR 500 et diverses autres normes de protection des données et de cybersécurité en programmant une démonstration personnalisée dès aujourd'hui.

 

Retour au Glossaire de la Gestion des Risques et de la Conformité

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO
Partagez
Tweetez
Partagez
Explore Kiteworks