Réglementation sur la cybersécurité du Département des services financiers de New York (DFS) Le Règlement établit de nouvelles normes pour les entreprises de services financiers opérant dans l'État de New York afin d'identifier et d'atténuer les risques pesant sur leurs données commerciales et de consommation. Cependant, malgré toutes les exigences organisationnelles et techniques – comme un programme de cybersécurité approuvé par le conseil d'administration –, le véritable impact du Règlement sera de contraindre les organisations à accepter un principe fondamental : elles doivent d'abord comprendre quelles données elles possèdent, à qui elles appartiennent, où elles se trouvent et qui y a accès pour les protéger au mieux. De plus, comme le Règlement élargit le champ d'application des données commerciales et de consommation, une nouvelle approche est nécessaire pour identifier les données potentiellement importantes et comprendre les flux de données.
Conformité en matière de sécurité de l'information en chiffres
De son propre aveu, l'ensemble complet d'exigences en matière de sécurité de l'information finalisé par le NY DFS le 1er mars pour 3 000 entités concernées est le premier du genre aux États-Unis. Ce règlement rompt avec le modèle sous-jacent à de nombreuses obligations de conformité existantes, qui garantissent la mise en place de politiques et procédures de sécurité de l'information de base et universelles. En revanche, conformément aux obligations plus récentes en matière de confidentialité et de protection des données, comme la Directive générale sur la protection des données de l'UE, le règlement NY DFS privilégie une approche axée sur les risques pour la protection des informations des entreprises et des consommateurs.
Dans la mesure où le règlement aura un impact sur la manière dont les organisations investissent et gèrent leurs pratiques de sécurité de l'information, ainsi que sur la modification de leur structure organisationnelle pour placer la gestion et l'atténuation des risques au centre des programmes de cybersécurité, le changement d'orientation le plus fondamental est peut-être quoi le règlement vise à protéger.
Dans la catégorie de règlement de Informations non publiques, les entités couvertes devront non seulement protéger les informations financières personnellement identifiables comme déjà requis par la GLBA et les informations personnelles identifiables en matière de soins de santé en vertu de la HIPAA, mais également toutes les données commerciales ou de consommation qui pourraient avoir un « impact matériel » si elles étaient exposées ou volées par des attaquants et des cybercriminels.
Séparer la poule du risque de l'œuf des données
Le point de départ, pour toute entité concernée, sera nécessairement d'évaluer le risque d'accès non autorisé ou d'exposition aux données relevant de la nouvelle catégorie d'informations non publiques (INP). Avant de pouvoir optimiser les contrôles visant à contrôler l'accès aux données, mettre en œuvre des programmes de surveillance et des mesures de sécurité des applications comme le prévoit le Règlement, les entités concernées devront dresser un inventaire complet de leurs données et adopter une approche itérative pour identifier les données susceptibles d'être considérées comme INP en fonction de leur valeur commerciale et de leur impact significatif en cas d'exposition.
Ces deux nouveaux éléments du Règlement — une approche fondée sur les risques et une portée au-delà des préoccupations en matière de confidentialité — sont logiques lorsque l’on considère l’objectif principal du Règlement : réduire la menace systémique pour l’intégrité du secteur des services financiers posée par les attaquants axés sur le vol de données et endiguer les violations de données qui sapent la confiance des consommateurs dans le système.
En imposant une évaluation des risques comme point de départ du programme de cybersécurité, le Règlement oblige les entités concernées à envisager la protection dans le contexte de leur environnement spécifique, y compris des facteurs tels que l'accès de tiers, plutôt que de se contenter d'une liste de contrôle pour s'assurer de la mise en place de processus et de contrôles standards. Si l'objectif est de réduire le risque de violation de données, allouer des ressources en fonction de l'atténuation des risques est plus susceptible d'obtenir le résultat escompté qu'une sécurité de l'information basée sur des chiffres, même si cela impliquera probablement des niveaux d'investissement plus élevés qu'actuellement.
Deuxièmement, même comparé au RGPD de l'UE, qui place également l'atténuation des risques au cœur de ses préoccupations, le règlement DFS de New York va encore plus loin en termes de couverture des données. Si l'objectif est de limiter les violations, et pas seulement les atteintes à la vie privée, la définition des NPI est donc aussi large.
Comprendre votre risque pour le gérer
La définition plus large des informations non publiques incorporée dans le Règlement couvre non seulement des catégories spécifiques d'identifiants personnels, d'informations biométriques, d'informations de compte, de codes d'accès et de mots de passe personnels, d'informations de santé, mais aussi toute information dont la divulgation pourrait « avoir un impact négatif important sur l'activité, les opérations ou la sécurité de l'entité couverte ». Cette définition couvre également les données collectées lors du processus de demande de produits financiers, ce qui étend implicitement le champ d'application au-delà des données des clients existants.
Où cela laisse-t-il les entités couvertes qui ont déjà du mal à maintenir des inventaires de données à jour et complets et à cartographier les flux de données pour les catégories de données explicitement définies dans HIPAA, GLBA et PCI, par exemple ?
En analysant non seulement les sources de données structurées, mais également les référentiels Big Data, les sources de données non structurées comme les partages de fichiers et données cloud En identifiant les services et en déduisant, à partir d'un score d'identifiabilité, ce qui constitue des informations non publiques, les entités couvertes peuvent se forger une vision plus complète de leur exposition potentielle. Sans cette connaissance approfondie de leur infrastructure et la capacité d'identifier et de caractériser des attributs uniques grâce à l'apprentissage automatique, les entités couvertes définiront inévitablement leurs programmes de cybersécurité sur la base d'une vision incomplète de leur exposition aux risques.
C'est précisément le défi que BigID s'est donné pour objectif de relever : permettre aux clients de construire une image complète de leur inventaire de données, de comprendre où il se trouve, de découvrir de manière itérative de nouveaux attributs et de fournir des informations granulaires sur la manière dont les données sont accessibles jusqu'au niveau du champ.
Alors que les entités couvertes cherchent à se conformer aux exigences du règlement, elles devront adopter de nouvelles approches pour découvrir et inventorier les informations non publiques basées sur la science des données et les techniques d'apprentissage automatique, et structurer l'application, comme les contrôles d'accès et la protection ciblée des données, en fonction de leurs plus grands risques.
par Dimitri Sirota & @stavvmc