La date limite de la certification 23 NYCRR Part 500, fixée au 15 avril 2026 par le New York Department of Financial Services (NYDFS), a été moins problématique pour de nombreuses institutions financières que l’infrastructure nécessaire pour s’y conformer.
Répondre à ces exigences dans des environnements financiers complexes peut s’avérer difficile, en particulier pour les organisations qui s’appuient encore sur des environnements d’identité hérités ou hybrides.
Les systèmes de gestion des identités hérités n’ont pas été conçus pour l’authentification multifacteur (MFA) moderne. En effet, leur modernisation s’est révélée plus complexe que prévu par les régulateurs qui s’attendaient à ce que les programmes de gestion des identités et des accès et d’IAM soient matures, cohérents et capables de protéger aussi bien les données institutionnelles que celles des clients. Si vous êtes encore en pleine démarche de conformité, vous n’êtes pas pas un cas isolé. Voici comment les institutions de services financiers (FSI) comblent les failles.
Dates clés pour la conformité au NYCRR (2024–2026)
Les modifications apportées au règlement NYDFS Part 500 ont introduit des échéances d’implémentation strictes et progressives. Il s’agit d’étapes clés fixes pour le déploiement des contrôles de sécurité obligatoires, et non de dates annuelles récurrentes. Plusieurs échéances étant déjà passées, les entreprises qui n’ont pas suivi le rythme ne sont techniquement plus en conformité, ce qui les expose à d’importantes sanctions réglementaires dans un contexte de renforcement des contrôles.
Le respect de ces échéances d’implémentation fondamentales constitue une condition stricte pour déposer une certification annuelle de conformité. Aider les entreprises à répondre à ces exigences strictes pour gérer de manière sécurisée les collaborateurs, les partenaires et les agents d’IA est au cœur de notre mission.
Type d’entreprise | Sections du NYCRR concernées | Date limite | Exigence clé |
de petites entreprises | § 500.12(a) | 1er nov. 2024 |
|
Toutes les entités concernées (y compris la classe A) | §§ 500.5(a)(2), 500.7 | 1 mai 2025 |
|
Toutes les entités concernées (y compris la classe A) | §§ 500.12, 500.13 (a) | 1er nov. 2025 |
|
Toutes les entités concernées (y compris la classe A) | § 500.17(b) | 15 avr. 2026 |
|
Problèmes courants lors de l'adoption de l'authentification multifacteur (MFA)
L’identité demeure le principal vecteur d’attaque dans le paysage des menaces actuel, et les institutions de services financiers sont confrontées à une pression croissante pour renforcer les contrôles d’authentification. Alors que les entreprises s’efforcent de se conformer au NYDFS, certaines problématiques sont récurrentes :
- Systèmes de gestion des identités hérités
- Accès tiers
- Facteurs d’authentification faibles
- Application incohérente
Enfin, de nombreuses entreprises rencontrent des difficultés à appliquer de manière cohérente les politiques MFA dans les applications SaaS, les systèmes internes et les environnements d’accès à distance. Sans une plateforme d’identité unifiée, les équipes sécurité manquent souvent de la visibilité adéquate sur les politiques d’authentification et l’accès des utilisateurs.
Transformer la conformité à la cybersécurité du NYDFS en avantage stratégique
À mesure que les entreprises modernisent leur infrastructure d’identités pour se conformer aux exigences du NYDFS, elles doivent envisager l’identité autrement : non seulement comme un espace de connexion, mais aussi comme le point de contrôle de chaque décision d’accès dans l’entreprise. Lorsqu’elle est mise en œuvre de manière efficace, une plateforme d’identité moderne peut aider les institutions de services financiers à :
- Renforcer la posture de sécurité en intégrant des signaux de risque contextuels et une authentification adaptative adaptée à différents scénarios d’accès
- Réduire la complexité opérationnelle en consolidant l’infrastructure d’identités
- Renforcer l’agilité en automatisant la gestion des accès et l’onboarding
- Sécuriser les nouvelles identités non humaines en gérant l’accès des agents d’IA et des systèmes automatisés
Avec un socle d’identité solide, la conformité aux exigences du NYDFS devient accessible et présente également un intérêt stratégique.
Comment Okta aide les institutions de services financiers à se conformer au NYDFS
Okta Workforce Identity répond aux exigences d’authentification et de contrôle des accès définies dans le NYDFS Part 500, tout en aidant les entreprises à moderniser la sécurité de l’identité.
Voici plusieurs façons dont la plateforme unifiée d’Okta aide les institutions de services financiers à intégrer l’authentification, la gouvernance et la gestion des accès à privilèges afin de réduire les risques et de répondre à ces exigences.
Adaptive MFA et authentification résistante au phishing
Okta Adaptive MFA impose l’authentification forte dans les environnements cloud, on-premise et sur les postes de travail. En s’appuyant sur des signaux contextuels tels que le terminal, l’emplacement et le comportement de l’utilisateur, il détermine de manière dynamique quand des étapes supplémentaires sont nécessaires pour la sécurité tout en préservant une expérience fluide.
Okta prend également en charge des méthodes modernes telles que les passkeys et les clés de sécurité FIDO2 pour permettre aux entreprises d’adopter une approche standardisée ou plus personnalisée du MFA selon les différents scénarios d’accès.
Le MFA sur les postes de travail étend cette fonctionnalité aux ordinateurs de bureaux ainsi qu’aux applications cloud.
Les entreprises ont constaté des progrès significatifs en matière de posture de sécurité et d’adoption par les collaborateurs. Cela permet une authentification robuste et intuitive tout en offrant à la direction la confiance nécessaire pour la certification réglementaire.
Téléchargez notre guide pour en savoir plus sur le respect des obligations en matière de réglementation, de framework et de standard avec Okta Identity Governance.
Identity Security Posture Management (ISPM)
Le maintien de la conformité exige une visibilité continue sur les risques liés à l’identité. L’Identity Security Posture Management d’Okta aide les équipes sécurité à identifier les erreurs de configuration, les incohérences liées au MFA et les comptes à privilèges excessifs, afin de traiter les risques avant qu’ils ne deviennent des problèmes réglementaires.
Des fonctionnalités telles que la découverte d’Agent contribuent à gouverner les interactions entre des agents d’IA non autorisés et les applications d’entreprise, un enjeu de plus en plus crucial alors que les institutions de services financiers expérimentent l’automatisation pilotée par l’IA.
Pour les équipes de conformité, ISPM transforme le « mois de la panique » en préparation continue aux audits. Les entreprises conservent une visibilité en temps réel sur les risques liés à l’identité et l’état des contrôles pour transformer la conformité en pratique de gouvernance continue.
Gestion du cycle de vie et Identity Governance
La section 500.7 du NYDFS exige que les entreprises limitent les privilèges d’accès des utilisateurs et retirent rapidement les accès non nécessaires. Okta Lifecycle Management automatise le provisioning et le déprovisioning en fonction des attributs et des rôles des utilisateurs.
Cette fonction, associée à Okta Identity Governance, permet aux entreprises d’implémenter des workflows d’approbation, de procéder à des évaluations des accès et de conserver des pistes d’audit claires pour le reporting réglementaire. Ensemble, ces éléments aident les institutions financières à appliquer le principe du moindre privilège tout en simplifiant la conformité au NYDFS.
Maîtriser la conformité continue au NYDFS pour les institutions financières de New York
Le règlement sur la cybersécurité du NYDFS exige que les institutions financières mettent en œuvre trois piliers fondamentaux :
- Mettre en place une authentification forte : déployer un MFA résistant au phishing sur l’ensemble des points d’accès.
- Entretenir la visibilité sur leurs systèmes : savoir qui a accès à quoi, à tout moment.
- Gérer activement les risques liés à l’identité : considérer la gouvernances des identité comme un processus continu, et non comme une simple exigence de conformité.
La conformité ne s’arrête pas le 15 avril. En réalité, ce n’est qu’un début. Les entreprises qui maîtrisent la conformité l’intègrent dans leur gouvernance continue, au lieu de la traiter comme une case à cocher. Cela signifie qu’elles ont besoin de partenaires de confiance, des partenaires ayant déjà démontré leur posture de sécurité auprès des autorités de régulation.
Okta aide ses clients à prouver leurs contrôles de sécurité aux auditeurs du NYDFS grâce au programme d’audits mutualisés. Dans notre guide complet, Paving the Path: Pooled Audits with Okta Security, nous expliquons en détail comment cette approche allège les contraintes habituelles des audits de fournisseurs tout en préservant le niveau d’exigence attendu par les régulateurs des services financiers. Il s’agit d’un accompagnement haut de gamme du fournisseur. Lorsque les autorités de régulation demandent : « Quelle est la posture de sécurité de votre fournisseur ? », vous leur fournissez une réponse crédible, validée de manière indépendante. Aucun audit fournisseur requis, aucune zone grise réglementaire. Vos auditeurs voient qu’Okta est prêt pour les audits. Vous bénéficiez d’une assurance continue attestant que votre fournisseur d’identité critique répond aux exigences réglementaires.
C’est le modèle de partenariat avec les fournisseurs que les autorités de régulation s’attendent à voir.
En adoptant un MFA résistant au phishing, en renforçant la gouvernance des identités et en centralisant la gestion des accès, les entreprises peuvent répondre aux attentes réglementaires tout en consolidant leur socle de sécurité et en se préparant à la prochaine génération de défis liés à l’identité, notamment la sécurisation des systèmes pilotés par l’IA.
Des milliers d’organisations à travers le monde font confiance à Okta pour protéger les identités collaborateurs et prendre en charge les exigences réglementaires en constante évolution. Que vous soyez actuellement en phase de conformité ou en préparation de vos prochains cycles d’audit, nous pouvons vous accompagner.
Vous souhaitez en savoir plus sur la façon dont Okta peut aider votre entreprise à répondre aux exigences du NYDFS tout en modernisant la sécurité des identités ? Demander une démo pour découvrir Okta Platform en action.