Doit-on s’inspirer du New York Department of Financial Services, NYDFS, en matière de législation sur la cybersécurité ?

En matière de législation sur la cybersécurité, les États-Unis restent des précurseurs dans le domaine, notamment dans le secteur des services financiers, où le New York Department of Financial Services a mis en place une des législations qualifiées les plus strictes au monde.

L’idée du « NYDFS Cybersecurity Regulation (23 NYCRR 500) » est de protéger les consommateurs et d’assurer la sûreté de l’industrie financière dans l’État de New York. Ce dispositif a été mis en place après le constat de plusieurs cyber-attaques, failles de sécurité et autres violations de données. Les banques américaines ou étrangères opérant dans cet Etat, compagnies d’assurance et celles de prêts hypothécaires entre autres, sont soumises à cette législation qui se donne pour objectif de s’aligner sur les standards de la norme ISO 27001 et les « best practices » de l’industrie de la finance. Les entreprises qui sont soumises à cette régulation sont donc dans l’obligation d’avoir un programme de cyber sécurité qui est en conformité avec les principaux éléments du cadre du National Institute of Standards Technology, NIST, agence du département du commerce des États-Unis. Ce cadre NIST est une initiative américaine qui définit une politique en matière de cyber sécurité pour amener le secteur privé à évaluer et améliorer son habilité à se prémunir, détecter et répondre aux cybers attaques. Il s’agit par conséquent entre autres de pouvoir, identifier les menaces internes et externes en matière de cybersécurité, mettre en place une infrastructure de défense pour se protéger contre ces menaces, utiliser un système pour détecter et répondre tous les événements de cyber sécurité qui affectent l’entreprise. Les aspects de sécurité du système d’information et du réseau, de respect de la vie privée du client et du contrôle des accès au sein de la compagnie doivent notamment être pris en compte dans l’élaboration des procédures liées à la cyber sécurité. Cela inclus par exemple la nomination d’un Chief Information Security Officer (CISO) qualifié, de recruter et de former son personnel en matière de cybersécurité, de notifier au NYDFS tout événement de cybersécurité et d’avoir un plan de réponse prédéfini en cas d’attaque subie. Cette régulation ne s’applique toutefois pas aux entreprises de moins de 10 employés et les petites et moyennes entreprises peuvent également faire appel à des tierces parties afin de pouvoir satisfaire à ces obligations.

Malgré toutes ces mesures, cette législation a été critiquée par certains experts américains, car, d’après ces derniers, elle ne va pas aussi loin qu’elle le devrait en termes de mesures pour lutter et répondre face aux attaques. Il s’agit toutefois d’une politique ambitieuse dans le secteur, qui gagnerait à être répandue et adoptée à une échelle plus grande pour réduire à un niveau plus global le risque cyber et être mieux outillé en cas d’attaques. Le cas de panne informatique nationale subie par la BNP Paribas le 8 janvier 2019, qui s’apparente à une cyberattaque, et empêche les paiements, retraits et l’accès aux comptes sur l’application et le site internet. Cette attaque est un exemple de plus de la nécessité de mettre en place une législation qui touche de façon plus large les opérateurs économiques privés, et non seulement ceux d’importance vitale comme le prévoit pour le moment la Loi de Programmation Militaire.

Club Cyber de l’AEGE