Accueil Cyber Sécurité Réglementation en matière de cybersécurité pour les services financiers américains

Réglementation en matière de cybersécurité pour les services financiers américains

Par
Fabrice Symphorien
-
150
0

Alors que le secteur des services financiers attend la nouvelle réglementation de la Securities and Exchange Commission (SEC) des États-Unis en matière de , prévue pour avril 2023, il reste des inconnues quant à ce que les entreprises seront tenues de faire.

Mais cela ne signifie pas que les sociétés d'investissement alternatif ne peuvent pas prendre des mesures proactives dès maintenant afin de ne pas être obligées de se démener pour se mettre en conformité pendant la période de grâce prévue – qui pourrait durer de 12 à 24 mois.

Alors que les dirigeants et les responsables informatiques commencent à examiner les programmes informatiques de leur entreprise, il existe quelques mesures proactives qui peuvent être prises immédiatement, conformément aux orientations antérieures de la SEC qui seront très probablement incluses dans les nouvelles règles.

Il est intéressant de noter que les investisseurs ont été à la hauteur des régulateurs en ce qui concerne ce qu'ils recherchent, de sorte que ces mesures seront extrêmement utiles, en particulier si une entreprise s'apprête à lever des fonds.

Des évaluations continues et approfondies des risques doivent être mises en œuvre immédiatement. La sécurité et l'accès des utilisateurs – y compris une liste de contrôle complète pour l'accueil et le départ, des politiques solides et des autorisations d'accès strictes – doivent également être évalués dès aujourd'hui.

Les entreprises peuvent tester leur programmes de gestion de la vulnérabilité et introduire rapidement un programme formel de correctifs, une analyse des vulnérabilités du réseau et des tests de pénétration.

Les entreprises qui lèvent des fonds doivent se préparer à ce que les investisseurs leur posent de nombreuses questions sur leurs pratiques en matière de cybersécurité. Les entreprises doivent également se pencher sur la protection des données et des informations et s'assurer qu'elles disposent de politiques complètes de prévention des pertes de données pour des éléments tels que les systèmes de messagerie électronique qui risquent de divulguer des informations sensibles telles que les adresses et les transactions financières.

Lire aussi :  L'application de la compagnie aérienne scandinave est compromise

Le plus important est peut-être que les entreprises aient de solides plans de rapport d'incident en place, en particulier s'ils peuvent être contraints de signaler toute violation dans le délai de 48 heures proposé par la SEC.

Il doit s'agir d'un plan clairement rédigé qui intègre également des éléments plus larges de continuité des activités et de résilience opérationnelle en cas de violation. Il ne peut s'agir d'un document simplement rédigé dans le vide et placé sur une étagère – il doit être revu régulièrement pour tenir compte des nouveaux vecteurs de menace, des systèmes, des tiers, etc. Il faut s'y préparer comme on le ferait pour un questionnaire : Que se passe-t-il si la SEC demande, un jour donné, comment l'entreprise peut accéder rapidement à ses plans actuels et historiques et les partager ? Cette question sera cruciale, car la réglementation proposée exige des entreprises qu'elles conservent cinq ans de documents historiques et qu'elles rendent facilement accessibles les deux années les plus récentes.

D'autres éléments des règles proposées ne sont pas encore clairs. Par exemple, la SEC a indiqué qu'elle souhaitait une certaine forme de contrôle par le conseil d'administration, comme un processus d'approbation des politiques de cybersécurité, mais les détails ne seront pas bien définis tant que les exigences officielles ne seront pas publiées. Il reste également à déterminer exactement la quantité d'informations qu'il sera nécessaire de divulguer sur les cyberincidents passés dans les mises à jour des prospectus et des brochures – ce qui pourrait poser un problème car ce type d'informations pourrait être utilisé contre une entreprise lors d'attaques futures s'il est accessible au public.

Lire aussi :  Les technologies maritimes transforment l'industrie du transport maritime

En résumé, il ne s'agit pas seulement d'attendre. Si l'entreprise commence dès aujourd'hui à évaluer sa posture cybernétique et prend des mesures proactives pour évaluer en permanence les risques et les vulnérabilités, il suffira de procéder à des ajustements une fois que les nouvelles règles seront publiées pour garantir la solidité et la conformité de l'entreprise en matière de cybersécurité.

Simon Eyre est RSSI à Drawbridge

Tu peux aussi lire :

Cybersécurité : Se préparer pour l'année à venir:

Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

  • Individuel : £5 par mois ou £50 par an. S'inscrire
  • Multi-utilisateurs, entreprise &amp ; comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé, organisé et accessible

” Le rapport sur la cybersécurité menace les chemins de fer
Article précédentMise en œuvre du masquage des données dans l’écosystème IoT pour protéger les données des utilisateurs
Article suivantLe rapport sur la cybersécurité menace les chemins de fer
Fabrice Symphorien

ARTICLES CONNEXESPLUS DE L'AUTEUR