Le 9 novembre 2022, le Département des services financiers de New York (NYDFS) a publié sa deuxième proposition d’amendements à la règle de cybersécurité Part 500. Les modifications proposées révisent plusieurs aspects du projet de modification de la règle de cybersécurité publié le 29 juillet 2022. Ces modifications reflètent plusieurs commentaires formulés en réponse au projet de règle de cybersécurité pour clarifier, renforcer et clarifier davantage diverses exigences, comme indiqué ci-dessous.
Voici quelques-uns des principaux changements apportés aux modifications proposées :
Exigence de notification
Les modifications proposées prévoient trois nouveaux événements de cybersécurité que les entités couvertes doivent signaler au NYDFS via le portail de cybersécurité en ligne du NYDFS dans les 72 heures :
- accès non autorisé à des comptes privilégiés ;
- Déploiement de rançongiciels dans une partie matérielle des systèmes de l’Entité couverte ; autre
- Tout événement de cybersécurité qui affecte un fournisseur de services tiers qui affecte également l’entité couverte.
De plus, les entités couvertes doivent fournir à NYDFS toute information supplémentaire demandée par NYDFS concernant l’enquête sur un événement de cybersécurité dans les 90 jours suivant l’avis. L’entité couverte doit également fournir des mises à jour continues et toute information supplémentaire liée à l’enquête.
Les modifications proposées prévoient une nouvelle exigence de notification pour les paiements de rançongiciels. Si une entité couverte effectue un paiement de ransomware, l’entité couverte est tenue d’en informer NYDFS dans les 24 heures suivant le paiement. Lors de la notification au NYDFS, une entité couverte qui effectue un paiement de rançongiciel doit également fournir une description écrite du paiement dans les 30 jours, décrivant pourquoi le paiement était nécessaire, quelles alternatives étaient disponibles et toutes les diligences connexes effectuées pour garantir le respect des lois et réglementations applicables.
Définition révisée des sociétés de catégorie A
Les modifications proposées définissent désormais les sociétés de classe A comme des entités couvertes avec au moins 20 milliards de dollars de revenus annuels bruts dans l’État au cours de chacun des deux derniers exercices fiscaux provenant des activités commerciales de l’entité couverte et de ses filiales, et soit : (1) possèdent plus plus de 2 000 employés au cours des deux derniers exercices, quel que soit leur emplacement, y compris ceux de l’entité couverte et de toutes ses sociétés affiliées, ou (2) possèdent plus d’un milliard de dollars de revenus annuels bruts au cours de chacun des deux derniers exercices de tous opérations commerciales de l’entité couverte et de toutes ses sociétés affiliées. Une entité couverte qui se qualifie en tant que société de catégorie A sera également soumise à plusieurs exigences de conformité supplémentaires en vertu des modifications proposées, y compris un audit indépendant d’au moins une fois par an par un auditeur externe, le recours à des experts externes pour effectuer des évaluations des risques au moins une fois tous les trois années et la mise en œuvre d’une solution de détection et de réponse aux terminaux.
Tests d’intrusion, évaluations de la vulnérabilité et évaluations des risques
Les modifications proposées apportent des modifications importantes aux exigences techniques de la règle de cybersécurité. Certains de ces changements incluent :
- Les entités couvertes doivent effectuer des tests de pénétration de leurs systèmes, en interne et en externe, par une partie indépendante interne ou externe qualifiée au moins une fois par an.
- Les entités couvertes doivent avoir un processus de surveillance qui garantit une notification rapide de toute nouvelle vulnérabilité de sécurité.
- Les entités couvertes doivent posséder des politiques et des procédures écrites pour la gestion des vulnérabilités, imposer des analyses automatisées des systèmes et examiner manuellement les systèmes non couverts par ces analyses aussi fréquemment que déterminé par l’évaluation des risques ou rapidement après toute modification majeure du système.
- Les entités couvertes doivent revoir et mettre à jour leurs évaluations des risques au moins une fois par an, et chaque fois qu’un changement important dans l’activité ou la technologie entraîne une modification importante de leur cyber-risque.
Plan de cybersécurité
Les modifications proposées exigent désormais qu’une entité couverte traite de nouveaux problèmes dans ses plans de cybersécurité, notamment la conservation des données, la gestion de la fin de vie, les contrôles d’accès à distance, la surveillance des systèmes, la sensibilisation et la formation à la sécurité, la sécurité des applications, la notification des incidents et la gestion des vulnérabilités.
Les modifications proposées exigent également qu’une entité couverte limite le nombre de comptes, les fonctions d’accès et l’utilisation réelle en fonction de ce qui est nécessaire pour qu’un utilisateur puisse effectuer son travail. Cela inclut l’exigence qu’une entité couverte examine périodiquement, ou au moins une fois par an, tous les privilèges d’accès des utilisateurs et supprime ou désactive les comptes qui ne sont plus nécessaires (c’est à direrésiliation rapide de l’accès aux systèmes après le départ d’un employé).
Les modifications proposées prévoient une nouvelle exigence de certification qui oblige une entité couverte à faire signer par son cadre supérieur et son CISO (ou son responsable principal de la cybersécurité) une certification annuelle de conformité à la partie 500 du NYDFS.
Réponse aux incidents et plan de continuité des activités et de reprise après sinistre
Les modifications proposées exigent désormais qu’une entité couverte fournisse une formation pertinente sur son plan d’intervention en cas d’incident et son plan de continuité des activités et de reprise après sinistre à tous les employés nécessaires à la mise en œuvre de ces plans. Ces plans doivent être testés au moins une fois par an, et doivent être diffusés et accessibles aux collaborateurs concernés.
Authentification multifacteur
Les modifications proposées exigent qu’une entité couverte utilise l’authentification multifacteur (MFA) pour tous les accès à distance aux systèmes, aux applications tierces et à tous les comptes privilégiés. Alternativement, le RSSI peut approuver l’utilisation de contrôles raisonnablement équivalents ou plus sécurisés pour remplacer l’AMF, par écrit, qui doit être examiné périodiquement et au moins une fois par an par le RSSI.
Gouvernance de la cybersécurité
Les modifications proposées exigent qu’un organe directeur supérieur approuve les politiques et procédures de cybersécurité d’une entité couverte pour la protection de ses systèmes et des informations non publiques stockées dans les systèmes, au moins une fois par an.
Les modifications proposées prévoient également plusieurs exigences pour les RSSI et leur confèrent l’autorité adéquate pour «s’assurer que les risques de cybersécurité sont gérés de manière appropriée». Certaines de ces exigences incluent des rapports en temps opportun à l’organe directeur supérieur concernant les problèmes matériels de cybersécurité (c’est à direévénements majeurs de cybersécurité ou mises à jour concernant les évaluations des risques) et rapports sur les plans de remédiation pour remédier aux insuffisances matérielles.
Les modifications proposées exigent également que le conseil d’administration d’une entité couverte ou son équivalent (c’est à dire, à un comité approprié du conseil) pour exercer une surveillance de la gestion des risques de cybersécurité, y compris l’élaboration, la mise en œuvre et le maintien de programmes de cybersécurité. Le conseil d’administration ou équivalent doit posséder une expertise ou des connaissances suffisantes, ou être conseillé par des personnes ayant une expertise ou des connaissances suffisantes, pour exercer une surveillance de la gestion des risques de cybersécurité.
La période de consultation publique de 60 jours sur les modifications proposées se termine le 9 janvier 2023 et les membres du public sont invités à soumettre leurs commentaires ici.
