Les régulateurs bancaires de l’État ont infligé une amende de 20 millions de dollars à trois sociétés de prêts hypothécaires résidentiels et à leur société mère pour une violation de données en 2021 qui a révélé une série de mauvaises pratiques de cybersécurité au sein des entreprises. Les entreprises fautives devront désormais mettre en œuvre un vaste plan de remédiation et, comme d’habitude, nous avons de nombreuses leçons à tirer de l’incident.
La Conférence des superviseurs bancaires d’État, qui aide à coordonner les enquêtes à grande échelle et les mesures coercitives entre des dizaines d’organismes de réglementation bancaire d’État à travers les États-Unis, a annoncé la mesure coercitive mercredi. Le premier en ligne était Gestion d’actifs Bayviewune société de gestion de placements qui opère dans le secteur hypothécaire ; suivi de trois filiales hypothécaires non bancaires que Bayview possède ou contrôle : Service de prêt Lakeview, service de prêt communautaireet Pingora Holdings.
Alors que s’est-il passé ? Comme décrit dans l’ordre de règlementles problèmes ont commencé le 11 octobre 2021, lorsqu’un employé de l’une des entreprises (l’ordonnance ne précise pas laquelle) a accidentellement téléchargé des logiciels malveillants sur le système informatique de Bayview lors d’une recherche sur Internet. Ce malware a ensuite fonctionné pendant six semaines, de fin octobre à début décembre, et les attaquants ont pris la fuite avec les données personnelles de quelque 5,8 millions de clients.
En avril 2022, 53 régulateurs bancaires d’État distincts (dont au moins un de chaque État américain) se sont regroupés sous le CSBS pour lancer une enquête coordonnée sur les pratiques de cybersécurité de Bayview de 2020 à 2022. L’ordonnance de règlement reproche à Bayview un début difficile ; les sociétés « ne se sont pas initialement pleinement conformées aux autorités chargées de l’examen », même si Bayview a finalement changé de ton et a pleinement coopéré par la suite.
Plus alarmantes étaient toutes les mauvaises pratiques de sécurité informatique que l’enquête des États a découvertes au cours du processus, notamment :
- Gestion insuffisante des correctifs informatiques
- Faible surveillance centralisée de la correction, de la surveillance et du reporting des vulnérabilités informatiques ;
- Suivi insuffisant de l’inventaire informatique ;
- Défaut de chiffrer les données personnelles alors que les données sont au repos.
Le rapport du CSBS a souligné qu’aucun des échecs ci-dessus n’a directement conduit à l’attaque de malware de 2021 ; cela a été causé par l’employé errant. Pourtant, les résultats se lisent comme un catalogue des plus grands succès des échecs de contrôle informatique, et ils constituent également des violations de diverses règles de conformité fédérales et spécifiques aux États.
Bayview et ses sociétés affiliées n’admettent ni ne nient les conclusions du rapport CSBS, et n’avaient aucune déclaration sur le règlement que j’ai pu trouver.
Étape de remédiation 1 : Gouvernance
Premièrement, Bayview elle-même et ses trois sociétés hypothécaires affiliées doivent toutes adopter un cadre de gouvernance d’entreprise « proportionné à sa taille, à sa complexité opérationnelle et à son profil de risque global » et conforme aux normes établies par la Conférence des superviseurs des banques d’État.
Ce cadre vise à obliger la haute direction de chacune des entreprises à exercer plus vigoureusement leurs fonctions de surveillance de la cybersécurité et des risques informatiques. Plus précisément, l’équipe de direction devra :
- Maintenir une politique écrite de sécurité de l’information, qui devra être revue et mise à jour si nécessaire chaque année.
- Examiner et mettre à jour le plan de continuité des activités si nécessaire chaque année.
- Examiner et mettre à jour le plan de réponse aux incidents si nécessaire chaque année, en accordant une attention particulière aux rôles et responsabilités du centre d’opérations réseau et du centre d’opérations de sécurité.
- Adoptez des politiques écrites pour la gestion de la configuration, la protection des données, l’accès et la gestion des identités, la gestion des fournisseurs informatiques et d’autres problèmes.
En d’autres termes, Bayview et ses acolytes devront entrer dans les détails de leurs efforts de gestion des risques informatiques. L’objectif ici est de faire progresser la surveillance de la cybersécurité et des risques informatiques tout au long de la chaîne de commandement, en obligeant les hauts dirigeants à traiter ces éléments comme des risques stratégiques, et non comme de simples risques opérationnels ou de conformité qui peuvent être laissés entre les mains de niveaux inférieurs. gens.
Oui, ce sont des personnes de niveau inférieur qui rédigeront réellement ces politiques et ces plans ; mais les hauts dirigeants ont toujours le devoir d’examiner ces documents et de se demander si les politiques et les plans ont du sens compte tenu des risques de l’entreprise. Les hauts dirigeants devront s’impliquer sur la questionet le cadre de gouvernance d’entreprise est un mécanisme contraignant pour y parvenir. C’est la leçon ici.
Et plus de remédiation
Au-delà de ces exigences de gouvernance au sommet, Bayview et ses sociétés affiliées devront faire bien plus pour mettre en œuvre ces nobles objectifs de cybersécurité.
Par exemple, chaque entreprise devra élaborer un programme de gestion des risques pour faire face à ses risques informatiques et de cybersécurité, et le programme devra se conformer aux normes de protection des données établies par la Federal Trade Commission (16 CFR. Part 314, connue sous le nom de « Sauvegardes »). Rule ») et le Département des Services Financiers de l’État de New York (23 NYCRR 500, connue sous le nom de « Règle DFS »). Cela représente donc de nombreuses garanties administratives, techniques et physiques que les entreprises devront mettre en œuvre.
Devenant encore plus précis, le règlement précise également que les entreprises doivent mettre en œuvre le cryptage des données des consommateurs lorsque ces données sont « au repos » et doivent limiter le nombre de comptes d’administrateur « au montant nécessaire aux opérations commerciales ». De plus, les entreprises doivent également maintenir un système formel pour surveiller, suivre et documenter tous les problèmes et conclusions importants identifiés lors des activités normales de gestion des risques, tels que tout problème découvert par l’audit interne.
En parlant de : l’équipe d’audit interne de chaque entreprise devra effectuer un audit du programme informatique et de cybersécurité, et ces équipes doivent “maintenir un calendrier d’audit préparé sur une base pluriannuelle pour garantir que les domaines de risque informatique applicables sont audités avec un fréquence appropriée, dans le but d’auditer les domaines critiques et à haut risque du programme informatique et de cybersécurité au moins une fois par an.
Les entreprises doivent également développer des plans spécifiques pour la gestion des fournisseurs informatiques, la gestion des correctifs et la gestion des vulnérabilités. Tous ces sujets devraient être familiers aux équipes de sécurité informatique ; le point ici est que cet accord oblige les entreprises à élaborer des plans et des procédures spécifiques pour résoudre ces problèmes de manière disciplinée, afin que les rapports d’avancement puissent être partagés avec la haute direction et que tout le monde reste sur la bonne voie.
Enfin, les entreprises doivent embaucher un consultant externe qui effectuera sa propre évaluation de leurs efforts de gouvernance d’entreprise et de gestion des risques et formulera des recommandations d’amélioration si nécessaire. (Donc, un peu comme un contrôleur de conformité, mais pas aussi cher et effrayant.) Le consultant partagera ses conclusions avec le comité de surveillance des régulateurs de l’État, et les entreprises devront ensuite inclure ses recommandations dans leur plan d’actions correctives.
Leçons plus larges sur la cybersécurité
Si nous voulions évoquer des thèmes de cette affaire qui pourraient avoir une résonance plus large, c’est l’importance de lier les dimensions stratégique et opérationnelle de la cybersécurité. C’est ce que cette ordonnance de règlement incite Bayview et ses acolytes à faire.
Idéalement, un cadre de gouvernance d’entreprise tiendra les hauts dirigeants responsables de la réflexion sur les questions de cybersécurité à ce niveau stratégique – mais une partie de la réflexion à un niveau stratégique consiste à garantir que la cybersécurité est correctement prise en compte au niveau opérationnel.
Autrement dit, il ne suffit pas que les hauts dirigeants disent : « Oui, la cybersécurité est importante, alors vous, les cadres subalternes, vous y mettez. » Ils doivent réfléchir sérieusement aux cyber-risques de l’organisation et pousser les cadres juniors à concevoir des plans spécifiques et réalisables pour gérer les cyber-risques au quotidien. Ces plans spécifiques et réalisables doivent inclure des rapports d’avancement qui remontent à la haute direction, pour fournir des preuves tangibles de ce qui se passe au sein de l’entreprise et de l’efficacité des contrôles pour maîtriser les risques.
Vous pouvez voir un aperçu de cette idée dans cet ordre de règlement. Les exigences relatives aux plans spécifiques pour les risques liés aux fournisseurs informatiques, la gestion des correctifs et le suivi des stocks sont des questions tactiques que le personnel de niveau inférieur devra gérer ; mais la performance de ces questions tactiques sera également prise en compte dans les rapports que la haute direction consulte pour garantir que la cybersécurité fonctionne bien au niveau stratégique.
C’est ainsi que la cybersécurité devra fonctionner pour toutes les organisations, à partir de maintenant. Un cadre de bonne gouvernance sera le cadre qui vous permettra d’y parvenir, tandis que des mesures correctives spécifiques seront le carburant qui vous propulsera vers l’avant.
#Les #sociétés #prêts #hypothécaires #condamnées #une #amende #pour #échec #matière #cybersécurité