Réglementation du DFS de New York en matière de cybersécurité (23 NYCRR 500) : ce que les entreprises de services financiers et leurs MSP doivent savoir

La plupart des programmes de conformité au NYDFS actuellement en vigueur ont été élaborés sur la base de la version originale de 2017 de la partie 500 du 23 NYCRR. Les modifications apportées en novembre 2023 ont considérablement modifié les exigences, et un programme qui n’a pas été mis à jour conformément à la réglementation actuelle fonctionne désormais selon des exigences qui n’existent plus.

Cela revêt une importance particulière car le Département des services financiers de New York applique activement cette réglementation, avec des sanctions d’une ampleur telle que les équipes financières ne peuvent les ignorer. Robinhood a versé 30 millions de dollars en 2022. EyeMed Vision Care a payé 4,5 millions de dollars. OneMain Financial a payé 4,25 millions de dollars en 2023. Il ne s'agissait pas de risques théoriques. Il s'agissait de sanctions infligées à des entités qui, selon l'évaluation du DFS, n'avaient pas mis en place les contrôles requis par la réglementation.

Ce guide explique ce qu'exige réellement la règle 23 NYCRR 500 dans sa version modifiée, qui est tenu de s'y conformer, comment fonctionnent concrètement les délais de notification de 72 heures et de 24 heures, ce que la réglementation impose aux prestataires de services tiers (c'est-à-dire aux MSP), et comment mettre en place une stratégie de conformité défendable en cas de contrôle. Consultez le rapport 2026 de Kaseya sur l'état des MSP pour avoir une vue d'ensemble du contexte de la cybersécurité.

Qu'est-ce que le 23 NYCRR 500 ?

La partie 500 du 23 NYCRR est la réglementation en matière de cybersécurité du Département des services financiers de l'État de New York (DFS), entrée en vigueur le 1er mars 2017 et ayant fait l'objet d'une modification substantielle en novembre 2023. Cette réglementation impose aux entreprises de services financiers concernées de mettre en place un programme de cybersécurité documenté, de nommer un responsable de la sécurité des systèmes d'information (RSSI), de maintenir un ensemble défini de contrôles de sécurité et de signaler au DFS certains incidents de cybersécurité dans des délais très courts.

Les modifications de novembre 2023 (deuxième amendement à la partie 500) ont introduit des exigences qui tiennent compte de l'évolution du paysage des menaces depuis l'adoption de la réglementation initiale. Renforcement des exigences en matière de chiffrement. Renforcement des obligations relatives à l'authentification multifactorielle (MFA), avec notamment une orientation vers une MFA résistante au phishing lorsque cela est possible. Renforcement des exigences en matière de surveillance continue. Mise en place d'un délai de notification de 24 heures pour les paiements de rançons. Et un ensemble de contrôles plus rigoureux applicables aux grandes entités concernées (sociétés de classe A).

Pour les organisations dont les programmes ont fait l'objet d'une dernière évaluation approfondie avant novembre 2023, cela signifie concrètement qu'il faut refaire l'analyse des écarts. Plusieurs exigences ont considérablement changé, et la formulation de la déclaration de conformité utilisée chaque année par les cadres supérieurs rend l'exactitude de cette déclaration personnellement déterminante.

Qui doit s'y conformer

L'article 23 NYCRR 500 s'applique à toute personne exerçant ses activités en vertu d'une licence, d'un enregistrement, d'une charte, d'un certificat, d'un permis, d'une accréditation ou de toute autre autorisation similaire en vertu de la loi bancaire, de la loi sur les assurances ou de la loi sur les services financiers de l'État de New York. Dans la pratique, cela englobe les banques agréées par l'État, les compagnies d'assurance, les gestionnaires de prêts hypothécaires, les prestataires de services de transfert de fonds, les établissements d'encaissement de chèques, les agences de financement de primes, les prêteurs agréés, ainsi que l'ensemble des entités réglementées par le Département des services financiers (DFS).

Les petites entités peuvent bénéficier d'exemptions limitées à certaines exigences normatives. Le seuil d'exemption limitée prévu à l'article 500.19 repose sur trois conditions : moins de 20 employés et prestataires indépendants, un chiffre d'affaires annuel brut inférieur à 7,5 millions de dollars provenant des activités menées à New York, et un total du bilan en fin d'exercice inférieur à 15 millions de dollars. Les entités qui satisfont à ces trois critères bénéficient de l'exemption limitée, mais restent soumises à l'obligation fondamentale de mettre en place un programme de cybersécurité.

Les modifications apportées en novembre 2023 ont également introduit une catégorie « Classe A » destinée aux plus grandes entités concernées, définie en fonction de seuils relatifs au nombre d'employés, au chiffre d'affaires et aux actifs. Les entreprises de la Classe A sont soumises à des exigences supplémentaires par rapport à la réglementation de base, notamment des contrôles plus rigoureux en matière de surveillance et de gestion des identités. Les entreprises de taille moyenne et les grandes sociétés de services financiers opérant à New York devraient vérifier si elles relèvent de la définition de la Classe A, car les obligations supplémentaires sont importantes.

Les prestataires de services tiers, y compris les MSP (Managed Service Providers) et les prestataires de services de sécurité gérés, ne sont pas directement agréés par le DFS, mais relèvent du champ d'application de la réglementation en vertu de l'article 500.11, qui impose aux entités concernées de gérer les pratiques en matière de cybersécurité des prestataires ayant accès à leurs systèmes ou à des informations non publiques.

Principales exigences prévues par le règlement modifié

La règle modifiée porte sur un ensemble défini de domaines de contrôle. Parmi les exigences les plus importantes sur le plan opérationnel, on peut citer les suivantes.

Un programme de cybersécurité documenté, fondé sur une évaluation des risques, couvrant la confidentialité, l'intégrité et la disponibilité des systèmes d'information de l'entité concernée. Ce programme doit faire l'objet d'un réexamen au moins une fois par an et être mis à jour lorsque le profil de risque évolue.

Un RSSI qualifié, qu'il soit interne ou externe, chargé du programme et tenu de rendre compte chaque année au conseil d'administration (ou à l'organe de direction équivalent) de l'efficacité du programme, des risques significatifs et des incidents. Le rapport annuel a gagné en substance à la suite des modifications apportées en novembre 2023.

Une authentification multifactorielle pour tous les accès à distance aux systèmes d'information de l'entité concernée, tous les accès aux informations non publiques et tous les comptes privilégiés. L'amendement a introduit une préférence pour une authentification multifactorielle résistante au phishing (généralement une authentification basée sur WebAuthn ou FIDO2) lorsque cela est possible, reconnaissant que les mots de passe à usage unique (OTP) envoyés par SMS ou via une application peuvent être contournés par les kits de phishing modernes.

Chiffrement des informations non publiques lors de leur transmission sur des réseaux externes et lorsqu'elles sont stockées. Des mesures de contrôle compensatoires alternatives ne sont autorisées qu'avec l'accord écrit du RSSI et pour autant qu'une justification valable soit fournie pour cette dérogation.

Gestion des actifs et contrôles d'accès. Un inventaire à jour de tous les systèmes d'information, des politiques documentées de traitement des informations non publiques, un principe de « privilège minimal » pour tous les comptes utilisateurs, une gestion des accès privilégiés pour les autorisations étendues, ainsi que des révisions annuelles des droits d'accès.

Une surveillance continue des systèmes d'information, des tests d'intrusion au moins une fois par an et des évaluations de vulnérabilité au moins tous les six mois. C'est précisément cette exigence de surveillance continue qui rend le délai de 72 heures pour le signalement réalisable sur le plan opérationnel, et non pas simplement théorique.

Un plan de gestion des incidents documenté, couvrant la détection, l'intervention, la reprise des activités, la communication et l'analyse post-incident, et testé au moins une fois par an. La documentation relative à ces tests fait elle-même partie des éléments de preuve attendus par le DFS lors d'un contrôle.

Une formation annuelle à la cybersécurité pour l'ensemble du personnel, assortie d'une formation spécifique aux fonctions pour le personnel technique sur les menaces actuelles. Ces modifications ont relevé le niveau d'exigence en matière de formation adéquate.

L'obligation de signaler les incidents dans un délai de 72 heures

Les entités concernées doivent informer le DFS dans les 72 heures suivant la constatation d'un incident de cybersécurité atteignant le seuil de déclaration. Ce seuil est atteint lorsqu'un incident est susceptible, selon toute probabilité raisonnable, de nuire de manière significative au fonctionnement normal de l'entité, ou lorsqu'il porte atteinte à des informations non publiques.

Les modifications apportées en novembre 2023 ont introduit une obligation de notification dans les 24 heures en cas de paiement d'une rançon. Les entités concernées qui versent une rançon doivent en informer le DFS dans les 24 heures suivant le paiement et fournir, dans un délai de 30 jours, une description écrite de l'incident ainsi que les motifs justifiant ce paiement.

Une attestation annuelle de conformité doit être fournie par un cadre supérieur ou un administrateur, et le libellé de cette attestation engage la responsabilité personnelle de son auteur quant à l'exactitude de la déclaration de conformité. Le dépôt d'une attestation donnant une image fausse de la situation du programme est un acte susceptible d'entraîner non seulement une responsabilité civile, mais aussi une responsabilité individuelle.

Le défi opérationnel lié au délai de 72 heures ne réside pas dans la durée elle-même, mais dans la nécessité de détecter les incidents suffisamment rapidement pour s'apercevoir qu'ils se sont produits. Un incident découvert mardi matin, mais qui a en réalité débuté le samedi précédent, a déjà épuisé la majeure partie de ce délai de 72 heures avant même que l'entité ne se rende compte qu'il est en cours. C'est grâce à une surveillance continue, qu'elle soit assurée en interne ou par un prestataire MDR, que l'obligation de signalement peut être respectée et non pas ignorée.

Exigences applicables aux prestataires de services tiers

L'article 500.11 impose aux entités concernées de mettre en place des politiques et des procédures visant à garantir la sécurité des prestataires de services tiers. Ces exigences comprennent l'identification et l'évaluation des risques liés à tous les prestataires tiers ayant accès à des informations non publiques ou aux systèmes des entités concernées, les pratiques minimales en matière de cybersécurité auxquelles ces prestataires doivent se conformer (notamment le chiffrement, les contrôles d'accès, l'authentification multifactorielle et la gestion des incidents), l'évaluation périodique des pratiques de sécurité des prestataires, ainsi que l'intégration d'exigences de sécurité dans les contrats régissant la relation.

Pour les prestataires de services gérés (MSP) qui travaillent avec des clients du secteur des services financiers concernés à New York, les implications opérationnelles sont directes. Le MSP doit respecter les normes de cybersécurité que l'entité concernée est contractuellement tenue d'imposer. Cette obligation n'est facultative pour aucune des deux parties. L'entité concernée ne peut rester en conformité sans imposer ces exigences à son MSP. Le MSP ne peut rester un fournisseur viable pour l'entité concernée sans démontrer qu'il s'y conforme.

Prenons un scénario opérationnel courant. Un MSP (fournisseur de services de gestion) est le principal prestataire informatique et de sécurité d’un prêteur hypothécaire de taille moyenne basé à New York. Ce prêteur fait l’objet d’un contrôle du DFS (Département des services financiers). L’inspecteur demande des preuves de l’application de l’authentification multifactorielle (MFA) pour tous les accès privilégiés aux systèmes d’information du prêteur, y compris ceux des techniciens du MSP. Les outils standard du MSP prennent en charge la MFA, mais l’application de cette mesure n’a pas fait l’objet d’un audit depuis des mois, et trois comptes de techniciens ayant quitté l’entreprise au cours du dernier trimestre ont été désactivés tardivement. Le MSP devient alors une faille dans la posture de conformité du prêteur, et le prêteur devient une faille dans la position commerciale du MSP. Ces deux problèmes trouvent leur origine dans le fait que le MSP n'exploite pas son propre programme conformément aux normes que la réglementation attend de son client.

La ligne de conduite concrète pour les MSP qui travaillent avec des clients du secteur des services financiers à New York est claire. Documenter le programme de cybersécurité. Imposer une authentification multifactorielle (MFA) résistante au phishing sur tous les comptes ayant accès à l'environnement du client. Disposer d'un plan d'intervention en cas d'incident qui a fait ses preuves. Assurer une surveillance continue. Et conserver les preuves attestant que toutes ces mesures sont bien mises en œuvre, sous une forme qui résiste à un audit du client, car cet audit ne manquera pas d'arriver.

Mesures coercitives : ce qu'a fait le DFS

Le bilan des mesures coercitives prises par le DFS montre qu'il ne s'agit pas d'une réglementation purement théorique. Les accords de règlement publiés révèlent une tendance constante : les lacunes en matière d'authentification multifactorielle (MFA), de contrôles d'accès, de gestion des tiers et de capacité de réaction aux incidents constituent les principales cibles des mesures coercitives.

First American Financial Corp a conclu un accord à l'amiable en 2021 pour un montant de 500 000 dollars suite à des infractions, notamment le fait de ne pas avoir procédé à des évaluations des risques adéquates et de ne pas avoir remédié à des vulnérabilités connues. Robinhood Crypto a conclu un accord à l'amiable de 30 millions de dollars en 2022 en raison de lacunes dans son programme de cybersécurité. EyeMed Vision Care a conclu un accord à l'amiable de 4,5 millions de dollars en 2022 à la suite d'une violation de données touchant environ 2,1 millions de personnes, l'accord mentionnant des défaillances dans la gestion des accès et l'authentification multifactorielle (MFA). OneMain Financial a conclu un accord à l'amiable de 4,25 millions de dollars en 2023 pour des lacunes identifiées dans ses programmes.

Chacun de ces accords met en cause des défaillances spécifiques en matière de contrôle plutôt que de sanctionner un manquement général aux obligations de conformité, ce qui indique clairement sur quels aspects les futures mesures coercitives sont susceptibles de se concentrer. Couverture MFA. Discipline en matière de gestion des accès. Correction des vulnérabilités. Surveillance des tiers. Capacité de réaction aux incidents.

Feuille de route en matière de conformité pour les entités concernées et leurs prestataires de services de gestion (MSP)

Le travail se décompose en cinq étapes.

Réalisez une nouvelle analyse des écarts par rapport à la réglementation modifiée. Si la dernière analyse complète s'appuyait sur la version 2017 de la réglementation, refaites-la en tenant compte des modifications de novembre 2023. Plusieurs domaines de contrôle font désormais l'objet d'exigences nouvelles ou renforcées, et les hypothèses sur lesquelles reposaient les programmes antérieurs à 2023 ne sont plus fiables.

Donnez la priorité à l'authentification multifactorielle (MFA) et aux contrôles d'accès. Il s'agit là des lacunes les plus fréquemment relevées dans les mesures coercitives rendues publiques. La mise en place d'une authentification multifactorielle résistante au phishing pour tous les accès privilégiés, tous les accès aux informations non publiques et tous les accès à distance constitue un point de départ incontournable. Par-dessus cela, documentez la fréquence des contrôles d'accès ainsi que le processus de désinscription qui garantit que les comptes révoqués le sont bel et bien.

Mettre en place ou sous-traiter une capacité de surveillance continue. Le délai de 72 heures pour la notification des incidents exige une capacité de détection suffisamment rapide pour identifier sans délai les événements devant faire l'objet d'une notification. Une surveillance 24 heures sur 24, 7 jours sur 7, assurée par un centre de sécurité des opérations (SOC) interne, un service SIEM géré ou un prestataire MDR, constitue la solution la plus pratique.

Réviser et tester le plan d'intervention en cas d'incident. Organiser cet exercice au moins une fois par an. Consigner les résultats des tests ainsi que les améliorations apportées après l'exercice. Intégrer la procédure de notification au DFS sous la forme d'un guide opérationnel spécifique au sein du plan, en désignant clairement les responsables et en fournissant un modèle pré-rédigé du formulaire de notification précoce.

Évaluer et documenter la sécurité des tiers. Les entités concernées doivent recenser leurs MSP et autres prestataires concernés, évaluer leurs pratiques de sécurité à une fréquence définie et mettre à jour leurs contrats afin de se conformer aux exigences de l'article 500.11. Les MSP doivent préparer leur dossier de preuves de manière proactive, car attendre l'audit du client revient à attendre trop longtemps.

Compliance Manager GRC l'évaluation au titre de la réglementation 23 NYCRR 500 dans sa bibliothèque de cadres, permettant ainsi aux entités concernées et à leurs équipes informatiques de suivre l'état de conformité par rapport à la règle modifiée, de documenter les contrôles, de gérer les évaluations par des tiers et de générer les preuves attendues par le DFS lors d'un contrôle. Découvrez Compliance Manager GRC pour la gestion opérationnelle continue d'un programme NYDFS, plutôt que de devoir le reconstruire sous la pression d'un contrôle.

Les sociétés de services financiers et les MSP qui sortent indemnes des contrôles du DFS ne sont pas nécessairement celles qui disposent des infrastructures de sécurité les plus coûteuses. Ce sont celles dont la documentation relative au programme correspond à la réalité opérationnelle, dont les preuves sont à jour plutôt que reconstituées, et dont la certification annuelle peut être signée par le responsable de la certification sans qu’il soit nécessaire de consulter au préalable un conseiller juridique. La version modifiée du 23 NYCRR 500 est une réglementation significative appliquée par un organisme de contrôle actif ayant fait ses preuves. Le point de départ de la mise en conformité consiste à considérer cette règle comme une discipline continue, et non comme un projet ponctuel.