Nouvelles

Cybersécurité – Entrée en vigueur d’une nouvelle réglementation américaine applicable aux banques et au domaine de l’assurance et des services financiers

image1Un article publié le 2 octobre 2016 sur CyberLex fait le point sur un projet de règlement ( le Règlement) déposé par le New York State Department of Financial Services en matière de cybersécurité. Le Règlement vise à protéger tant les systèmes de technologie de l’information des entités visées que les informations non publiques qu’elles détiennent sur leurs clients du risque croissant de cyberattaque et de cyberinfiltration. Le Règlement proposé s’appliquera aux banques à charte, aux compagnies d’assurance, et à toute autre institution financière. 

Exigences du Règlement 

Le Règlement créé des obligations dans 4 secteurs-clés:

  1. Instauration d’un programme en matière de cybersécurité;
  2. Instauration d’une politique en matière de cybersécurité;
  3. Désignation d’un chef de la sécurité informatique;
  4. Exigences relatives aux rapports d’incident et à la tenue des dossiers.

Comme l’indiquent les auteurs Dan Doliner et Fraser Dickson, cela pourrait avoir un impact sur les entreprises canadiennes ayant une relation d’affaires avec les entités visées. Plus spécifiquement, l’article 500.11 du Règlement porte sur la politique sur la sécurité des informations des fournisseurs externes. Ainsi, les entités visées devront implanter des procédures afin d’assurer la sécurité des systèmes de technologies de l’information ainsi que des données accessibles ou détenues par les fournisseurs faisant affaire avec celles-ci (exemple: fournisseurs de logiciels, centres de traitement des données, services informatisés de paie).

Le Règlement entraîne des obligations de diligence raisonnable accrues pour les entités visées, comme l’obligation de rapporter tout incident relatif à la cybersécurité d’un fournisseur externe, de mener des audits de sécurité ponctuels de ses procédures de traitement des informations non publiques et de leur adéquation, et d’en faire une clause d’obtention du contrat. 

Les entreprises canadiennes ayant une relation d’affaire avec les entités visées devraient surveiller avec attention l’entrée en vigueur du Règlement et s’assurer dès maintenant de la conformité de leurs politiques et procédures en matière de cybersécurité et de protection des données.

Abonnez-vous à l'infolettre

Pour en apprendre plus sur les diverses problématiques pouvant vous affecter ou affecter votre organisation et sur les différents services que SIRCO offre pour les résoudre.