La gestion des fournisseurs tiers est une fonction essentielle pour la protection des informations relatives aux clients et aux entreprises. Les exigences en matière de politique de sécurité des prestataires de services tiers énoncées dans la réglementation sur la cybersécurité (partie 500) du Département des services financiers de New York (DFS) étaient révolutionnaires et, si elles sont respectées, elles contribueront grandement à renforcer fondamentalement la protection de la cybersécurité pour le secteur des services financiers de New York.
La partie 500 du NYDFS est entrée en vigueur le 1er mars 2017, avec une période de mise en œuvre de deux ans pour ses différentes dispositions. Le règlement s'applique à toute personne ou entité opérant sous une licence, une charte ou une autorisation similaire délivrée par le DFS, en vertu des lois de New York sur les services bancaires, d'assurance et financiers. Cela inclut toutes les banques, courtiers hypothécaires et prêteurs hypothécaires, compagnies d'assurance et agents, sociétés de transfert de fonds et bourses de cryptomonnaies agréés par l'État et autorisés à exercer leurs activités à New York. Le règlement vise à protéger toutes les informations non publiques détenues par ces sociétés, y compris les informations personnelles des consommateurs, les informations relatives aux soins de santé et les informations commerciales dont la divulgation aurait un impact négatif important sur les opérations commerciales ou la sécurité.
L'objectif du règlement sur la cybersécurité du DFS est de renforcer la sécurité des informations non publiques, de maintenir la continuité des activités et d'atténuer les risques liés aux violations potentielles de la cybersécurité, en établissant des normes minimales strictes que le secteur des services financiers de New York doit respecter afin de renforcer les contrôles et de protéger les informations non publiques. Le règlement contient de nombreuses dispositions énonçant diverses exigences en matière de programme de cybersécurité, de politique de cybersécurité, d'évaluation des risques, de cryptage, de tests de pénétration, d'authentification multifactorielle, de plan d'intervention en cas d'incident, de formation et de gouvernance. La dernière disposition entrée en vigueur le 1er mars 2019 est la section 500.11, qui concerne les prestataires de services tiers. Chaque entité concernée doit certifier chaque année au NYDFS qu'elle se conforme au règlement.
La partie 500.11, intitulée « Politique de sécurité des prestataires de services tiers », repose sur le principe selon lequel un établissement réglementé par le DFS, tenu de se conformer au règlement, est responsable de la sécurité des informations non publiques de l'entité couverte accessibles par des fournisseurs tiers. En d'autres termes, une entité couverte ne peut réduire ses mesures de sécurité en autorisant des fournisseurs tiers dont les mesures de sécurité sont inadéquates à accéder à ses systèmes d'information et à ses informations non publiques sur ses clients et ses activités. Les tiers visés par le règlement sont toute personne ou entité qui fournit des services à l'entité couverte et qui est autorisée à accéder à des informations non publiques dans le cadre de ces services.
Afin de se conformer au règlement, une entité réglementée par le DFS doit, au minimum, (1) identifier et évaluer périodiquement les risques associés à ses fournisseurs tiers, (2) concevoir et mettre en œuvre des politiques et des procédures pour traiter les risques liés à la cybersécurité de ses fournisseurs tiers, (3) faire preuve de diligence raisonnable pour évaluer l'adéquation des pratiques de cybersécurité de chaque fournisseur, y compris les contrôles d'accès, l'utilisation du cryptage, le personnel et la formation du tiers ; et (4) prendre en considération les déclarations et garanties contractuelles concernant les mesures de sécurité et la notification des incidents de cybersécurité.
La cybersécurité est une responsabilité qui incombe à l'ensemble de l'entreprise. La conformité à la partie 500 doit donc suivre un processus à l'échelle de l'entreprise qui inclut l'évaluation des fournisseurs tiers. Ce processus doit inclure, à intervalles réguliers, une évaluation des risques liés aux fournisseurs tiers de l'entreprise, en fonction de l'accès de chaque fournisseur à des informations non publiques et de la solidité de ses politiques et programmes de cybersécurité. L'évaluation doit inclure un examen des contrôles d'accès, de l'utilisation du cryptage, des tests, du personnel et de la formation du fournisseur tiers. Tout comme l'entité couverte doit disposer d'un plan d'intervention en cas d'incident, il en va de même pour le fournisseur tiers qui détient les informations commerciales et les données clients de l'entité couverte. Ces efforts sont essentiels pour atténuer le risque de dommages résultant d'une violation de la cybersécurité.
Nous vivons aujourd'hui dans un monde où nous devons reconnaître que la cybersécurité est une menace existentielle qui ne peut probablement pas être éliminée, mais qui peut certainement être atténuée. Les cybercriminels recherchent des vulnérabilités, et ces vulnérabilités peuvent exister dans la fourniture d'informations non publiques par une entreprise à des fournisseurs tiers. En cas de violation, l'entité concernée ne peut pas simplement pointer du doigt un fournisseur. Bien que le fournisseur puisse partager la responsabilité, la partie 500 stipule clairement que la gestion des fournisseurs et la diligence raisonnable de l'entreprise réglementée doivent inclure des mesures de protection de la cybersécurité. Ainsi, les fournisseurs tiers disposant de programmes de cybersécurité solides auront un avantage concurrentiel pour fournir des services au secteur des services financiers réglementés de New York. Comme il se doit.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
