ClickCease Quelles normes de conformité en matière de cybersécurité s'appliquent aux organisations de services financiers ?

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Quelles normes de conformité en matière de cybersécurité s'appliquent aux organisations de services financiers ?

par

Le 26 janvier 2023 - L'équipe de relations publiques de TuxCare

Les règlements et les normes guident les entreprises vers une réponse cohérente en matière de cybersécurité. Même s'ils ne fixent qu'une base minimale, les règlements constituent une amélioration de ce qui pourrait parfois être un effort de défense très limité en matière de cybersécurité.

Les entreprises de services financiers comptent parmi les organisations les plus réglementées au monde. Il n'est donc pas surprenant que plusieurs normes de conformité en matière de cybersécurité soient spécifiques à ce type d'entreprises. Sans fournir une liste exhaustive, cet article examine certaines de ces réglementations et explique pourquoi les correctifs, et plus particulièrement les correctifs dynamiques, sont au cœur de la conformité.

Règlements de conformité spécifiques aux services financiers

Les prestataires de services financiers, tels que les banques commerciales, les coopératives de crédit, les compagnies d'assurance, les banques d'investissement, les sociétés fintech, les néobanques et les sociétés de courtage, sont régis par des réglementations spécifiques qui tiennent compte des besoins uniques des clients des services financiers. 

Les normes suivantes relatives aux services financiers couvrent des sujets liés à la cybersécurité et ont de vastes implications pour les entreprises de services financiers qui risquent des amendes - ou pire - si elles sont jugées non conformes :

  • Loi Gramm-Leach-Bliley (GLBA): Une loi fédérale qui exige que les institutions financières protègent la sécurité et la confidentialité des informations des clients. Cela inclut l'envoi d'un avis annuel de confidentialité aux clients et la possibilité pour ces derniers de refuser le partage des informations avec des tiers. 
  • Normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS): L'autre grand livre de règles pour les services financiers, PCI DSS, s'applique à toute organisation qui accepte, traite, stocke ou transmet des informations sur les cartes de paiement. Il établit un ensemble de contrôles de sécurité et de meilleures pratiques pour aider à protéger les données des titulaires de cartes. 
  • Règlement sur la cybersécurité du Département des services financiers de l'État de New York (NYDFS): Bien qu'il s'agisse d'une loi de l'État de New York, elle s'applique à toute entreprise titulaire d'une licence ou opérant dans l'État de New York, ce qui élargit sa portée. Le NYDFS exige que les banques et les compagnies d'assurance établissent un programme de cybersécurité qui comprend des exigences spécifiques en matière de sécurité des informations.

En fonction des services offerts par une organisation, de la manière dont elle accepte les paiements pour ces services et de la juridiction dans laquelle elle opère, un seul des régimes de conformité ci-dessus peut s'appliquer, voire les trois.

Outils et directives à prendre en compte

Les outils et les lignes directrices sont également utiles, même si le respect des conseils n'est pas obligatoire. Le Conseil fédéral d'examen des institutions financières (FFIEC) offre un outil d'évaluation de la cybersécurité qui est utilisé par les institutions financières pour évaluer leur risque en matière de cybersécurité et pour identifier les lacunes des contrôles de sécurité.

De même, la Financial Industry Regulatory Authority (FINRA) fournit des lignes directrices pour aider les entreprises de services financiers à protéger leurs réseaux et les données de leurs clients contre les cybermenaces.

Même s'il n'est pas spécifiquement destiné aux organisations de services financiers, le cadre de cybersécurité du NIST est néanmoins un autre cadre précieux qui sert de langage commun pour aborder les risques de cybersécurité de manière générale. Le NIST est couramment adopté par les entreprises de services financiers aux États-Unis.

Dans le domaine financier, les entreprises obtiennent aussi souvent un rapport SOC 2qui est généré par un processus d'audit qui examine les contrôles des organisations de services, y compris celles qui fournissent des services financiers, et couvre la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et le respect de la vie privée de tous ces systèmes.

Les correctifs sont au cœur de la conformité

Qu'il s'agisse d'un mandat de sécurité ou d'une directive, il s'agit toujours de la même chose : protéger vos systèmes contre les menaces extérieures. L'application de correctifs est l'une des mesures les plus évidentes à prendre pour assurer cette sécurité. En corrigeant une vulnérabilité connue, les acteurs de la menace ne peuvent plus exploiter cette vulnérabilité. 

La mise en place de correctifs permet également de réduire les possibilités d'exploitation et de diminuer le risque de réussite d'une attaque, notamment en raison de la nature automatisée et spéculative d'un grand nombre des attaques que nous observons aujourd'hui. C'est pourquoi de nombreuses normes de cybersécurité - y compris PCI DSS - font explicitement référence aux correctifs. font explicitement référence aux correctifs.

L'application de correctifs est malheureusement aussi l'une des choses les plus difficiles à réaliser de manière cohérente, car elle prend du temps et perturbe le fonctionnement. Le résultat net est que l'intention d'appliquer des correctifs de manière cohérente peut être présente, mais que la réalité peut se résumer à autre chose, à moins de déployer des correctifs en direct.

Live Patch pour soutenir vos efforts de conformité

La solution de patching en direct de TuxCare change complètement la donne en matière de vulnérabilité. Parce qu'elle est automatisée, cela signifie que les administrateurs système n'ont plus besoin d'investir d'énormes quantités de temps pour appliquer manuellement les correctifs de sécurité critiques.

Et, parce que la solution de patching en direct de TuxCare applique les mises à jour de sécurité sans avoir besoin de redémarrer - et de perturber - les systèmes, cela signifie également que le patching se produit de manière transparente et cohérente car il n'y a jamais de temps d'arrêt à essayer de négocier.

Les correctifs en direct de TuxCare permettent simplement aux organisations de services financiers de rester plus facilement conformes aux exigences obligatoires et de respecter les cadres de bonnes pratiques. Vous pouvez en savoir plus sur le fonctionnement du live patching ici et consulter notre page de solutions ici.

Résumé
Quelles normes de conformité en matière de cybersécurité s'appliquent aux organisations de services financiers ?
Nom de l'article
Quelles normes de conformité en matière de cybersécurité s'appliquent aux organisations de services financiers ?
Description
Réglementations et normes dans les organisations financières. Qu'est-ce qui pourrait parfois constituer un effort de défense très limité en matière de cybersécurité ?
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information