Conformité NYDFS 23 NYCRR 500

Contacter un expert

Retour à tous les cas d'utilisation

23 NYCRR 500 et gestion des risques liés aux tiers

Au début de l'année 2017, le Département des services financiers de l'État de New York (DFS) a instauré la réglementation23 NYCRR 500afin d'établir de nouvelles exigences en matière de cybersécurité pour les sociétés de services financiers. Cette réglementation vise à protéger la confidentialité, l'intégrité et la disponibilité des informations clients et des systèmes informatiques associés.

La norme 23 NYCRR 500 a été promulguée en réponse à l'augmentation alarmante des violations de données et des cybermenaces visant les institutions financières. L'un des éléments clés pour se conformer à la loi consiste à gérer les contrôles de sécurité informatique et les politiques de confidentialité des données des fournisseurs.

Plusieurs sections du règlement traitent spécifiquement des fournisseurs tiers :

  • La section 500.11traite directement de la politique de sécurité des prestataires de services tiers. Elle exige des entités concernées qu'elles mettent en œuvre des politiques et procédures écrites qui traitent de la sécurité des systèmes d'information tiers sur la base d'uneévaluation des risques.
  • La section 500.16exige des entités concernées qu'elles établissent des plans et des mesures visant à garantir la résilience opérationnelle, notamment des plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre.
  • La section 500.17exige la déclaration spécifique des incidents de cybersécurité impliquant des tiers.

Exigences pertinentes

  • Maintenir un programme de cybersécurité comprenant des évaluations des risques, des audits indépendants et des documents justificatifs.

  • Mettre en œuvre et maintenir des politiques de sécurité de l'information basées sur des évaluations des risques, y compris pour la gestion des fournisseurs et des prestataires de services tiers.

  • Nommer un RSSI qui sera chargé de superviser et de rendre compte du programme de cybersécurité de l'organisation.

  • Inclure des technologies et des pratiques spécifiques en matière de cybersécurité.

  • Créer un programme de gestion des risques liés aux tiers

  • Déposer une attestation annuelle confirmant la conformité à ces réglementations.

Réunion 23 NYCRR 500 Exigences TPRM

Voici comment Prevalent peut vous aider à répondre aux exigences de gestion des risques liés aux tiers de la norme 23 NYCRR 500 :

Exigences du 23 NYCRR 500 Comment nous aidons
SECTION 500.11
(a) Chaque entité couverte doit mettre en œuvre des politiques et procédures écrites visant à garantir la sécurité des systèmes d'information et des informations non publiques accessibles à des prestataires de services tiers ou détenues par ceux-ci. Ces politiques et procédures doivent être fondées sur l'évaluation des risques de l'entité couverte et doivent traiter, dans la mesure applicable :
(1) l'identification et l'évaluation des risques liés aux prestataires de services tiers ;

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels encapturant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
La logique de classement basée sur des règles permet de catégoriser les fournisseurs à l'aide d'une série de considérations relatives à l'interaction des données, aux aspects financiers, réglementaires et à la réputation.
(2) les pratiques minimales en matière de cybersécurité auxquelles ces prestataires de services tiers doivent se conformer pour pouvoir travailler avec l'entité concernée ;

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques commerciaux, financiers et de réputation, ainsi que sur les risques de violation de données, afin d'éclairer et de contextualiser les décisions de sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie.
(3) les processus de diligence raisonnable utilisés pour évaluer l'adéquation des pratiques de cybersécurité de ces prestataires de services tiers ; et

Prevalentautomatise les évaluations des risquesafin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à toutes les étapes du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler des informations sur un large éventail de contrôles de fournisseurs afin de déterminer les menaces pour la gestion de l'information, sur la base de la criticité du tiers telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.
(4) évaluation périodique de ces prestataires de services tiers en fonction du risque qu'ils présentent et du caractère toujours adéquat de leurs pratiques en matière de cybersécurité.

Les évaluations peuvent être réalisées avant la signature du contrat, au moment du renouvellement du contrat ou à la fréquence requise (par exemple, tous les trimestres ou tous les ans).

Des capacitésintégrées et nativesde surveillance des risques cybernétiques, commerciaux, réputationnels et financierssignalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques. Ces recommandations sont soutenues par des capacités de gestion des flux de travail et des tâches afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.
SECTION 500.16
(a) Dans le cadre de son programme de cybersécurité, chaque entité concernée doit établir des plans écrits contenant des mesures proactives visant à enquêter sur les événements perturbateurs et à les atténuer, ainsi qu'à garantir la résilience opérationnelle, y compris, mais sans s'y limiter, des plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre.

(2) Plan de continuité des activités et de reprise après sinistre (aux fins de la présente partie, plan BCDR). Les plans BCDR doivent être conçus de manière raisonnable afin de garantir la disponibilité et la fonctionnalité des services de l'entité couverte et de protéger le personnel, les actifs et les informations non publiques de l'entité couverte en cas d'urgence ou de toute autre perturbation de ses activités commerciales normales. Ces plans doivent au minimum :

(iii) inclure un plan de communication avec les personnes essentielles en cas d'urgence ou d'autre perturbation des activités de l'entité couverte, notamment les employés, les contreparties, les autorités réglementaires, les prestataires de services tiers, les spécialistes en reprise après sinistre, l'organe directeur supérieur et toute autre personne essentielle à la récupération des documents et des données et à la reprise des activités ;

(vi) identifier les tiers qui sont nécessaires à la poursuite des activités de l'entité couverte.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et d'autres cadres de contrôle.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire.
SECTION 500.17
(a) Notification d'un incident de cybersécurité.
(3) Chaque entité couverte qui est touchée par un incident de cybersécurité chez un fournisseur de services tiers doit en informer le surintendant par voie électronique, à l'aide du formulaire disponible sur le site Web du département, dans les plus brefs délais et au plus tard dans les 72 heures suivant la prise de connaissance dudit incident de cybersécurité par l'entité couverte.

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la cybersurveillance continue et en accédant à des conseils de remédiation. Les principales fonctionnalités sont les suivantes :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs
  • Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.