Réglementation de cybersécurité NYDFS : guide de conformité à jour

Les enjeux sont élevés en matière de cybersécurité dans le secteur financier. Les organisations financières hébergent de nombreuses données sensibles de clients, notamment les identifiants de connexion, les informations personnellement identifiables (PII) et les détails bancaires. Le Département des services financiers de l’État de New York (NYDFS) a donc adopté une position proactive pour protéger les informations sensibles et protéger les consommateurs en mettant en œuvre la réglementation de cybersécurité (23 NYCRR 500).

Pour ceux qui travaillent dans le secteur financier, la conformité avec 23 NYCRR 500 est plus qu’une simple case à cocher sur une liste de tâches réglementaires. C’est un impératif stratégique qui peut faire la différence entre prospérer dans un marché concurrentiel et faire face aux conséquences catastrophiques d’une violation de données.

Dans cet article, nous visons à naviguer dans les subtilités de la conformité NYDFS, avec un accent particulier sur deux domaines critiques : la gestion des politiques de mots de passe et l’authentification multifacteur (MFA). Nous détaillerons les exigences spécifiques, partagerons des histoires réelles convaincantes de non-conformité, et offrirons des perspectives exploitables pour vous aider à construire une stratégie de cybersécurité qui vous aide à respecter les normes NYDFS.

Qu’est-ce que la réglementation de cybersécurité NYDFS (23 NYCRR 500) ?

La réglementation de cybersécurité NYDFS, également connue sous le nom de 23 NYCRR 500, est un ensemble d’exigences de cybersécurité pour les institutions financières opérant dans l’État de New York. Ces réglementations visent à s’assurer que ces institutions disposent de programmes de cybersécurité robustes pour protéger leurs systèmes et données contre les cybermenaces.

Nous entrerons dans les détails plus tard dans cet article. Mais au niveau le plus basique, le NYDFS exige que les organisations fassent ce qui suit :

• Désigner officiellement un responsable de la sécurité de l’information (CISO)
• Définir un processus de notification pour les violations et événements similaires ayant des impacts sur les clients (dans les 72 heures suivant l’occurrence)
• Créer des plans de réponse pour les incidents de sécurité
• Fournir des documents détaillant les mesures de conformité ci-dessus aux organismes de réglementation
• De plus, elle exige des évaluations de risques régulières et une formation des employés

À qui s’applique la réglementation NYDFS ?

La réglementation NYDFS s’applique à un large éventail d’institutions financières réglementées par le Département des services financiers de l’État de New York. Cela inclut les banques, les coopératives de crédit, les compagnies d’assurance et autres fournisseurs de services financiers qui opèrent dans l’État de New York. Spécifiquement, elle couvre les entités qui sont tenues d’avoir une licence, un enregistrement, une charte ou une autorisation similaire sous la loi bancaire, la loi sur les assurances ou la loi sur les services financiers de New York.

Quelles sont les dernières mises à jour NYDFS en 2025 ?

La réglementation de cybersécurité NYDFS (23 NYCRR 500) a été introduite en 2017. Elle est entrée en vigueur le 1er mars 2017, et les entités couvertes devaient être en conformité avec la plupart de ses dispositions avant le 4 septembre 2017. Le 1^er novembre 2023, le NYDFS a introduit sa deuxième réglementation de cybersécurité amendée (23 NYCRR Partie 500).

Les amendements ont introduit plusieurs changements clés, avec un accent particulier sur l’amélioration de la sécurité des mots de passe. Spécifiquement, les entreprises de classe A sont maintenant tenues de mettre en œuvre une méthode automatisée pour bloquer les mots de passe couramment utilisés pour tous les comptes sur les systèmes d’information qu’elles possèdent ou contrôlent, et partout où c’est faisable, pour tous les autres comptes. Cette exigence vise à prévenir l’utilisation de mots de passe faibles qui sont vulnérables aux cyberattaques.

Vous cherchez une solution qui bloque la création de mots de passe faibles et scanne continuellement votre Active Directory pour plus de 4 milliards de mots de passe compromis ? Contactez-nous pour en savoir plus sur Specops Password Policy.

La conformité avec ces nouvelles exigences est obligatoire avant le 29 avril 2024, certaines dispositions ayant des dates de transition étendues. Pour les informations les plus précises et à jour, il est toujours bon de se référer au site web officiel du NYDFS ou à la dernière version de la réglementation.

Comment les entreprises de classe A sont-elles définies ?

La réglementation de cybersécurité NYDFS s’applique aux entreprises de classe A. Ce sont des entités qui répondent aux critères suivants :

• Elles ont au moins 20 millions de dollars de revenus annuels bruts dans chacune des deux dernières années fiscales de toutes les opérations commerciales.
• Elles ont soit plus de 2 000 employés en moyenne au cours des deux dernières années fiscales, y compris les affiliés, soit plus d’1 milliard de dollars de revenus annuels bruts dans chacune des deux dernières années fiscales de toutes les opérations commerciales de l’entité et de ses affiliés.

15 exigences clés pour se conformer au NYDFS (23 NYCRR 500)

1. Programme de cybersécurité : Les entités couvertes doivent développer et maintenir un programme de cybersécurité conçu pour protéger la confidentialité, l’intégrité et la disponibilité des systèmes d’information et des informations non publiques de l’institution.
2. Politique de cybersécurité : Une politique de cybersécurité écrite doit être établie et approuvée par le conseil d’administration ou un dirigeant senior, abordant des domaines spécifiques tels que la sécurité de l’information, la gouvernance des données et la réponse aux incidents.
3. Responsable de la sécurité de l’information (CISO) : Nommer un CISO pour superviser et mettre en œuvre le programme de cybersécurité et faire respecter la politique de cybersécurité.
4. Évaluation des risques : Des évaluations de risques régulières doivent être menées pour identifier et évaluer les risques de cybersécurité pour les systèmes et données de l’institution.
5. Privilèges d’accès : Mettre en œuvre des politiques et procédures pour s’assurer que l’accès aux systèmes d’information est limité aux individus autorisés et est basé sur le principe du moindre privilège.
6. Sécurité des applications : Mettre en œuvre des procédures, directives et normes écrites pour assurer l’utilisation de pratiques de développement sécurisées pour les applications développées en interne et des procédures pour évaluer, analyser ou tester la sécurité des applications développées en externe.
7. Gouvernance et classification des données : Établir des politiques et procédures pour la gouvernance et la classification des données, y compris l’identification et la classification des informations non publiques.
8. Piste d’audit : Maintenir des systèmes qui capturent et conservent les journaux d’activité pour détecter et répondre aux événements de cybersécurité.
9. Formation et surveillance : Fournir une formation régulière de sensibilisation à la cybersécurité pour tout le personnel et mettre en œuvre des processus de surveillance pour détecter les événements de cybersécurité.
10. Plan de réponse aux incidents : Développer et maintenir un plan de réponse aux incidents pour assurer une réponse rapide et une récupération des événements de cybersécurité.
11. Gestion des fournisseurs de services tiers : Mettre en œuvre des politiques et procédures pour assurer la sécurité des systèmes d’information et des informations non publiques accessibles ou détenues par des fournisseurs de services tiers.
12. Tests de pénétration et évaluations de vulnérabilité : Effectuer des tests de pénétration annuels et des évaluations de vulnérabilité semestrielles pour identifier et traiter les vulnérabilités de sécurité.
13. Authentification multifacteur : Mettre en œuvre l’authentification multifacteur pour tout individu accédant aux réseaux internes ou systèmes d’information de l’institution.
14. Limitations sur la conservation des données : Mettre en œuvre des politiques et procédures pour limiter la conservation des informations non publiques à ce qui est nécessaire pour les opérations commerciales.
15. Rapports périodiques : Le CISO doit fournir un rapport au conseil d’administration ou à l’organe directeur senior au moins annuellement, détaillant le statut global du programme de cybersécurité et les risques de cybersécurité matériels.

Quelles sont les conséquences de la non-conformité ?

Les conséquences de la non-conformité avec la réglementation de cybersécurité NYDFS (23 NYCRR 500) peuvent être significatives. Les institutions financières qui ne respectent pas les exigences réglementaires peuvent faire face à une gamme de pénalités, incluant des amendes, des actions d’application réglementaire et des dommages à la réputation.

Le NYDFS a l’autorité d’imposer des pénalités monétaires civiles, qui peuvent être substantielles, et de prendre d’autres actions correctives, telles qu’exiger que l’institution mette en œuvre des mesures correctives spécifiques.

De plus, la non-conformité peut conduire à une surveillance et un contrôle accrus de la part du NYDFS, ce qui peut résulter en des audits et inspections plus fréquents. Dans les cas graves, le NYDFS peut révoquer ou suspendre la licence de l’institution pour opérer dans l’État de New York. Ces conséquences soulignent l’importance de respecter les exigences de cybersécurité pour protéger à la fois l’institution et ses clients.

Exemple de non-conformité NYDFS : OneMain Financial Group

En mai 2023, le NYDFS a annoncé qu’il infligeait une amende de 4,25 millions de dollars à OneMain Financial Group (OneMain). L’amende a été prononcée en raison d’une violation de la réglementation de cybersécurité NYDFS (23 NYCRR Partie 500). Les problèmes cités incluaient le stockage inapproprié des mots de passe et la gestion insuffisante des risques liés au stockage de données par des tiers.

Que dit le NYDFS à propos des mots de passe et de l’AMF ?

La réglementation met un accent significatif sur l’importance de politiques de mots de passe solides et de l’authentification multifacteur (AMF) pour protéger contre l’accès non autorisé aux systèmes et données. Voici les exigences et directives spécifiques liées aux mots de passe et à l’AMF :

23 NYCRR 500.12 – mots de passe

• Les entités couvertes doivent mettre en œuvre des politiques et procédures conçues pour assurer la sécurité des systèmes d’information et des informations non publiques accessibles ou détenues par des tiers.
• Cela inclut s’assurer que les mots de passe sont forts et gérés de manière sécurisée. Bien que la réglementation ne spécifie pas d’exigences exactes de complexité des mots de passe, il est généralement compris que les mots de passe doivent être complexes, uniques et changés périodiquement.
• Les entreprises de classe A sont maintenant tenues de mettre en œuvre une méthode automatisée pour bloquer les mots de passe couramment utilisés pour tous les comptes sur les systèmes d’information qu’elles possèdent ou contrôlent, et partout où c’est faisable, pour tous les autres comptes.

Scannez votre Active Directory pour 1 milliard de mots de passe compromis connus

23 NYCRR 500.12 – Authentification multifacteur (AMF)

• Les entités couvertes doivent utiliser l’authentification multifacteur ou, lorsque l’évaluation des risques le justifie, l’authentification basée sur les risques pour tout individu accédant aux réseaux internes ou systèmes d’information de l’entité.
• L’AMF est requise pour tout individu accédant aux réseaux internes ou systèmes d’information de l’entité depuis un réseau externe, à moins que l’entité couverte ait mis en œuvre une authentification basée sur les risques qui soit au moins aussi sécurisée que l’AMF.
• Les entités couvertes doivent effectuer une évaluation périodique des risques des systèmes d’information, qui devrait inclure une évaluation de l’efficacité de l’AMF et d’autres contrôles d’accès.

Comment se conformer aux exigences de mots de passe NYDFS

Pour répondre aux exigences énoncées dans la section précédente, les organisations doivent démontrer :

• Blocage automatisé des mots de passe : Avoir une méthode automatisée pour bloquer les mots de passe couramment utilisés. Cette solution doit être en place pour tous les comptes sur les systèmes d’information possédés ou contrôlés par une entreprise de classe A. Si ce n’est pas faisable pour certains comptes, un CISO doit montrer des preuves expliquant pourquoi.
• Surveillance de la conformité : La mise en œuvre et l’efficacité de la solution de blocage des mots de passe doivent être surveillées régulièrement. Le CISO est responsable d’assurer la conformité et l’adéquation de ces contrôles.
• Audits réguliers : Effectuer des audits réguliers pour vérifier que la solution de blocage automatisé des mots de passe fonctionne correctement et empêche efficacement l’utilisation de mots de passe faibles.

Respecter la conformité NYDFS avec Specops

Une sécurité de mots de passe solide et une protection AMF sont une combinaison cruciale pour se conformer au NYDFS. Un mot de passe fort rend plus difficile pour les attaquants de deviner ou de craquer, tandis que l’AMF ajoute une étape de vérification supplémentaire, réduisant significativement le risque de compromission de compte même si le mot de passe est volé. Ensemble, ils offrent une protection robuste contre un large éventail de cybermenaces.

Specops facilite la conformité des organisations au NYDFS, en vous aidant à prendre trois actions clés :

1. Utilisez Specops Password Policy pour empêcher les utilisateurs finaux de créer des mots de passe faibles en appliquant une politique de mots de passe forte et efficace
2. Activez notre fonctionnalité de protection contre les mots de passe compromis pour scanner continuellement votre Active Directory contre notre base de données (toujours croissante) de 4 milliards de mots de passe compromis uniques
3. Combinez avec Specops Secure Access pour ajouter l’AMF pour la connexion Windows, ainsi que les connexions RDP, RADIUS et VPN

Vous voulez savoir comment Specops Password Policy, Specops Secure Access, ou les deux pourraient s’intégrer dans votre environnement ? Contactez-nous pour un essai.