NYDFS 23 NYCRR 500 : Comment répondre aux exigences en matière de gestion des risques liés aux tiers

La norme NYDFS 23 NYCRR 500 vise à protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients des services financiers. Voici comment se conformer aux principales exigences en matière de risques liés aux tiers.

Personnel de Mitratech
Personnel de Mitratech Février 27, 2023 7 minutes de lecture
Decorative image

Au début de l'année 2017, le Département des services financiers de l'État de New York (DFS) a instauré une réglementation visant à établir des exigences en matière de cybersécurité pour les entreprises de services financiers. Cette législation, connue sous le nom de 23 NYCRR 500, a été promulguée en réponse aux violations de données et aux cybermenaces qui augmentaient à un rythme alarmant, exposant des données sensibles et coûtant des millions de dollars aux organisations. La loi a été modifiée en novembre 2022 afin de tenir compte des derniers risques pesant sur les systèmes d'information et les données, les mises à jour devant entrer en vigueur en 2023.

Cet article examine quelles organisations doivent se conformer à la loi, les principales dispositions relatives à la gestion des risques liés aux tiers dans le règlement 23 NYCRR 500, ainsi que les meilleures pratiques pour satisfaire aux exigences.

Quelles organisations doivent se conformer à la norme 23 NY CRR 500 ?

Selon le règlement, « toute personne exerçant ou tenue d'exercer ses activités en vertu d'une licence, d'un enregistrement, d'une charte, d'un certificat, d'un permis, d'une accréditation ou d'une autorisation similaire en vertu de la loi bancaire, de la loi sur les assurances ou de la loi sur les services financiers, que l'entité concernée soit également réglementée par d'autres agences gouvernementales ou non », est considérée comme une « entité concernée » et doit se conformer à la réglementation, même les organisations dont le siège social n'est pas situé à New York.

Il existe toutefois quelques exceptions à cette loi. L'amendement de novembre 2022 a mis à jour les critères d'exemption afin d'exclure les entités couvertes qui :

  • moins de 20 employés (y compris les entrepreneurs indépendants) ou
  • moins de 15 millions de dollars d'actifs totaux à la fin de l'exercice.

En outre, les modifications apportées au règlement en novembre 2022 désignent les entreprises de « classe A » afin d'imposer des exigences plus strictes aux grandes organisations de services financiers. Les entreprises de classe A sont celles qui ont réalisé un chiffre d'affaires annuel brut d'au moins 20 millions de dollars au cours de chacun des deux derniers exercices financiers provenant des activités commerciales de l'entité couverte et de ses filiales dans l'État de New York et :

  • plus de 2 000 employés en moyenne au cours des deux derniers exercices financiers, y compris ceux de l'entité couverte et de toutes ses filiales, quel que soit leur lieu d'implantation ; ou
  • plus d'un milliard de dollars de chiffre d'affaires annuel brut au cours de chacun des deux derniers exercices financiers provenant de l'ensemble des activités commerciales de l'entité concernée et de toutes ses filiales.

Les entreprises de classe A doivent satisfaire à des exigences supplémentaires qui s'ajoutent à celles auxquelles toutes les entités concernées doivent se conformer, notamment :

  • Réaliser des audits indépendants (en faisant appel à des auditeurs externes) du programme de cybersécurité au moins une fois par an, et faire appel à des experts externes pour réaliser une évaluation des risques au moins tous les trois ans.
  • Mise en œuvre d'une gestion des accès privilégiés et d'une méthode automatisée de blocage des mots de passe couramment utilisés
  • Mise en œuvre d'une solution de détection et de réponse aux incidents au niveau des terminaux afin de surveiller les activités anormales (y compris les mouvements latéraux), et d'une solution centralisant la journalisation et les alertes de sécurité.

Avec les récentes sanctions infligées au titre du NYCRR 500, qui s'élèvent à un total de 4,5 millions de dollars, il est essentiel que les organisations comprennent l'impact de cette réglementation sur leurs activités.

Quelles sont les 23 exigences du NY CRR 500 ?

Conçue pour protéger la confidentialité, l'intégrité et la disponibilité des informations des clients ainsi que des systèmes informatiques, cette réglementation en matière de cybersécurité impose aux entités concernées de prendre les mesures suivantes :

  • Maintenir un programme de cybersécurité comprenant des évaluations des risques, des audits indépendants et des documents justificatifs (section 500.2).
  • Mettre en œuvre et maintenir des politiques de sécurité de l'information fondées sur des évaluations des risques, y compris pour la gestion des fournisseurs et des prestataires de services tiers (section 500.3).
  • Nommer un responsable de la sécurité des systèmes d'information (RSSI) qui sera chargé de superviser et de rendre compte du programme de cybersécurité de l'organisation (section 500.4).
  • Inclure des technologies et des pratiques spécifiques en matière de cybersécurité (sections 500.5-500.10 ; 500.12-500.17)
  • Créer un programme de gestion des risques liés aux tiers (section 500.11)
  • Déposer une attestation annuelle confirmant la conformité à ces réglementations (section 500.17b)

Comment satisfaire aux exigences de la norme 23 NYCRR 500 en matière de gestion des risques liés aux tiers

Un élément clé de la conformité à la norme 23 NYCRR 500 consiste à gérer les contrôles de sécurité informatique et les politiques de confidentialité des données de vos fournisseurs. La section 500.11(a) traite directement de la politique de sécurité des prestataires de services tiers. Elle exige que les entités concernées disposent d'une politique écrite traitant de la sécurité des systèmes d'information tiers sur la base d'une évaluation des risques, et que cette politique couvre :

  • Identification et évaluation des risques liés à chaque tiers
  • Pratiques minimales en matière de cybersécurité
  • Diligence raisonnable utilisée pour évaluer l'adéquation de leurs pratiques en matière de cybersécurité
  • Évaluation périodique du fournisseur en fonction du risque et de l'adéquation continue de ses pratiques en matière de cybersécurité.

La section 500.11(b) décrit ensuite les politiques et procédures spécifiques sur lesquelles les entités concernées doivent exercer une diligence raisonnable supplémentaire, telles que les contrôles d'accès, l'authentification multifactorielle (MFA), le chiffrement et la notification des incidents. Les autres sections du règlement applicables à la gestion des risques liés aux tiers sont les sections 500.16 (continuité des activités) et 500.17 (réponse aux incidents liés à des tiers).

Section 500.11 du 23 NYCRR

Mettre en œuvre des politiques et procédures écrites visant à garantir la sécurité des systèmes d'information et des informations non publiques accessibles à des prestataires de services tiers ou détenues par ceux-ci.

La mise en œuvre d'une politique de sécurité relative aux prestataires de services tiers doit inclure les éléments suivants :

  • Une liste précise et exhaustive des prestataires de services tiers, incluant l'identification des services spécifiques fournis par chaque tiers.
  • Pratiques de cybersécurité à respecter par les tiers, sur la base des politiques et des contrôles de sécurité de l'évaluation des risques de base de l'entité couverte.
  • Évaluation périodique des fournisseurs sur la base de ces exigences, y compris les processus de diligence raisonnable à utiliser.
  • Exigences contractuelles et directives applicables

La plateforme de gestion des risques tiers de Prevalent permet aux institutions financières de répondre à ces exigences dans l'ensemble de leur écosystème de fournisseurs. Elle offre une solution complète pour évaluer les risques liés aux fournisseurs, notamment :

  • Constitution d'un inventaire centralisé des fournisseurs
  • Évaluation des risques inhérents afin de déterminer les exigences en matière de diligence raisonnable continue
  • La capacité d'intégrer des exigences en matière de cybersécurité dans les contrats avec les fournisseurs et d'évaluer ces derniers en fonction de leurs pratiques de sécurité.
  • Questionnaires basés sur les cadres et normes recommandés par le NY DFS
  • Un environnement permettant d'inclure et de gérer les preuves documentées en réponse
  • Workflows pour gérer l'examen et traiter les conclusions
  • Des rapports fiables fournissant à chaque niveau de direction les informations nécessaires pour évaluer correctement les performances et les risques de chaque tiers.

La plateforme Prevalent comprend également une surveillance cybernétique, commerciale, réputationnelle et financière afin de détecter les menaces potentielles continues pesant sur une entité couverte.

Section 500.16 du 23 NYCRR

Établir des plans écrits contenant des mesures proactives visant à enquêter sur les événements perturbateurs et à les atténuer, et à garantir la résilience opérationnelle, y compris, mais sans s'y limiter, les plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre.

Pour garantir la résilience de l'entreprise, il convient d'automatiser l'évaluation, la surveillance continue, l'analyse et la correction des pratiques de résilience et de continuité des activités des tiers, tout en mappant automatiquement les résultats aux cadres de contrôle NIST, ISO et autres. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en conformité avec les exigences réglementaires. La plateforme Prevalent comprend une évaluation complète de la résilience des activités basée sur les pratiques standard ISO 22301.

Section 500.17 du 23 NYCRR

Avis concernant les incidents liés à la cybersécurité.

Pour respecter l'obligation de signaler tout incident de cybersécurité au Département des services financiers dans les 72 heures suivant sa découverte, établissez des plans proactifs de réponse aux incidents impliquant des tiers, qui comprennent :

  • Gestion centralisée des fournisseurs
  • Réaliser des évaluations proactives des événements (et permettre aux fournisseurs de soumettre eux-mêmes leurs événements)
  • Évaluer les risques identifiés par rapport aux seuils acceptables.
  • Corrélation des réponses des fournisseurs avec la surveillance continue de la cybersécurité
  • Publier des recommandations pour remédier aux problèmes

Gestion de la conformité à la norme 23 NYCRR 500 avec Prevalent

Il est impossible de répondre efficacement aux exigences énoncées dans la norme 23 NYCRR 500 si vous vous fiez uniquement à des tableurs pour collecter, analyser, corriger et rendre compte des contrôles de cybersécurité. La plateforme de gestion des risques liés aux tiers de Prevalent permet à votre institution financière de satisfaire aux exigences de la norme 23 NYCRR 500 dans l'ensemble de son écosystème de fournisseurs. La plateforme offre :

  • Due diligence automatisée préalable à la signature du contrat afin de s'assurer que les tiers ont mis en place des politiques de sécurité de l'information de base afin de réduire l'exposition de votre entreprise aux risques.
  • Évaluations détaillées des risques inhérents et catégorisation des fournisseurs afin d'orienter les domaines dans lesquels des évaluations supplémentaires doivent être menées.
  • Une vaste bibliothèque de modèles de questionnaires sur les risques, offrant la flexibilité nécessaire pour évaluer les fournisseurs en fonction des contrôles les plus importants pour votre entreprise.
  • Surveillance continue et complète des événements liés à la cybersécurité, ajoutant du contexte et établissant des corrélations avec les résultats des évaluations.
  • Programmes normatifs de continuité des activités et d'intervention en cas d'incident visant à garantir que les tiers disposent des politiques et procédures nécessaires pour faire face aux risques émergents en matière de cybersécurité.

Pour en savoir plus sur la mise en conformité avec la norme 23 NY CRR 500, téléchargez notre liste de contrôle de conformité ou contactez-nous pour planifier une démonstration.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.