On les attendait, elles sont finalement là, et elles confirment, par leur champ d’application très ambitieux, la volonté de New York de se positionner comme une juridiction leader en matière de cybersécurité.
Le 13 septembre, l’agence gouvernementale étatique de supervision des Services Financiers, le New York State Department of Financial Services (“NYSDFS”), a publié son projet de réglementation de la cybersécurité (“Cybersecurity Regulations For Financial Services Companies”), à destination des institutions financières, lequel projet, s’il est adopté en l’état, imposera des obligations de sécurisation des données très coûteuses pour les entités que l’agence supervise au niveau étatique. Ces “regulated financial institutions” sont définies très largement comme toute personne ou entité “opérant ou obligée d’opérer en vertu d’une licence, d’un enregistrement, d’un mandat, d’un certificat, d’une accréditation ou de toute autre autorisation similaire émise dans le cadre des lois de NY réglementant les banques, les compagnies d’assurance, ou les services financiers.” Pour plus d’informations consulter le lien Who We Supervise.
Au-delà, les nouvelles obligations seront, à partir de juillet 2017, étendues à tout tiers fournisseur de services ayant accès à des informations confidentielles ou aux systèmes informatiques des entités sus-visées, quelle que soit la localisation de ces fournisseurs.
Le projet fait l’objet d’une période de consultation de 45 jours à compter du 28 septembre et, sauf modification, entrera en vigueur le 1er janvier 2017.
Alors, quelles sont les principales dispositions de ce nouveau projet de réglementation?
D’abord, la définition d’information confidentielle (“nonpublic information”) au sens de la Section 500.01(g). Cette définition est particulièrement étendue puisqu’elle regroupe ici non seulement toutes les informations confidentielles sous forme électronique traditionnellement couvertes par la loi Gramm-Leach-Bliley de 1999, mais aussi “toute information de nature commerciale (des entités couvertes par la nouvelle réglementation) dont la manipulation, la divulgation, l’accès ou l’utilisation non autorisé(e) aurait un impact sévère sur les activités, les opérations ou la sécurité des entités en question.”
Ensuite, le projet dresse une liste longue de tâches à entreprendre pour les institutions financières, parmi lesquelles:
– la création et le maintien d’un programme de cybersécurité, lequel devra inclure notamment une politique ou charte interne écrite de cybersécurité couvrant au minimum 14 domaines, parmi lesquels la protection des données personnelles de clients, ou encore la gestion des vendeurs et prestataires de services externes.
– la désignation d’un Chief Information Security Officer (CISO), ou DSI, en charge de superviser et de mettre en oeuvre le programme de cybersécurité, et d’assurer le respect de la charte interne, avec une obligation de reporting bi-annuel au CA, et de mise à disposition du rapport sur demande de la NYDFS.
– la mise en oeuvre de tests annuels d’intrusion, ainsi que d’évaluations trimestrielles de vulnérabilité des réseaux informatiques.
– la mise en place d’audits de conformité, et la conservation des logs pour une période minimale de 6 ans.
– la mise en place de restrictions d’accès aux informations confidentielles.
– la création et la mise en oeuvre de procédures, guides et standards écrits internes de développement et de testing de toutes les applicatifs externes utilisés.
– la conduite détaillée et documentée d’évaluation des risques de tous les programmes, chartes et systèmes sus-visés sur une base annuelle au minimum.
– l’obligation de mettre en oeuvre des mécanismes d’authentification multi-facteur des réseaux informatiques, des bases de données et des applicatifs permettant l’accès aux informations confidentielles.
– le chiffrement de toutes les informations confidentielles détenues ou transmises par les institutions financières.
– la mise en place de chartes et procédures internes détaillées en matière de sécurité des systèmes informatiques et des informations confidentielles, mais aussi d’un plan par écrit de réponse aux incidents de sécurité, ainsi que de formations internes de sensibilisation de tout le personnel à la cybersécurité.
– la mise en oeuvre de durées maximum de conservation des informations confidentielles, et de procédures de destruction dès lors que ces données ne sont plus nécessaires à la fourniture des produits et services.
– l’emploi d’un personnel dédié et régulièrement formé à la cybersécurité, en nombre suffisant pour gérer les risques.
– la notification du NYDFS dans les 72 heures de tout cyber-incident pouvant raisonnablement et de façon substantielle affecter le fonctionnement normal des institutions financières ou qui porte atteinte aux informations confidentielles. L’institution financière devra également notifier l’agence gouvernementale dans les 72 heures de la connaissance d’un risque substantiel imminent d’atteinte à son programme de cybersécurité.
– une obligation annuelle de certification de conformité au 15 janvier de chaque année, laquelle obligation devra être assortie d’un plan détaillé de remédiation éventuel.
Gageons que ces obligations, si elles deviennent effectivement une réalité à compter du 1er janvier 2017, donneront aux institutions financières et à leurs sous-traitants et autres prestataires de services du pain sur la planche !
Le communiqué de presse du NYDFS est disponible ici.