Le Département américain du travail entre dans la discussion sur la cybersécurité – Technologie

Entrant officiellement dans la discussion sur la cybersécurité pour la première fois, le 14 avril 2021, le département américain du Travail (DOL) a publié sur son site Web une suite de nouvelles directives, y compris des conseils pour l’embauche d’un fournisseur de services avec de solides pratiques de cybersécurité, le programme de cybersécurité Best Pratiques et conseils de sécurité en ligne pour les participants et les bénéficiaires.

À titre d’information, la cybersécurité est devenue au cours de la dernière décennie un domaine d’une importance cruciale pour les promoteurs et les administrateurs de régimes d’avantages sociaux des employés ainsi que pour les participants aux régimes. En termes simples, cela est dû au fait que les régimes (qui, selon les estimations du DOL, détiennent 9,3 billions de dollars d’actifs) sont une cible de choix pour les cybercriminels, étant donné qu’ils détiennent généralement des quantités importantes de données sensibles sur les participants, permettent souvent un accès électronique aux fonds (pensez aux distributions 401 (k) ) et s’appuient sur des fournisseurs de services externes, qui fournissent des points d’accès supplémentaires en cas de violation. Ce risque n’a été qu’exacerbé par les arrêts du COVID-19, où le personnel des avantages sociaux et leurs fournisseurs de services ont rapidement dû passer au travail à distance et commencer à compter plus que jamais sur l’accès électronique.

Face à ces défis de cybersécurité, de nombreux promoteurs et administrateurs de régimes ont envisagé des moyens d’atténuer les risques, à la fois en interne (par exemple, par la formation de leur personnel et des participants aux avantages sociaux) et en externe (principalement par la gestion de leurs relations avec les prestataires de services).

Ces dernières années, il a été suggéré que le DOL fournisse son point de vue sur les responsabilités fiduciaires en matière de cybersécurité. Jusqu’à présent, le DOL a été en grande partie silencieux sur ces questions, mais a maintenant entamé la discussion avec les trois éléments d’orientation suivants destinés à trois publics différents.

Meilleures pratiques du programme de cybersécurité: Ce document contient une liste de 12 meilleures pratiques à l’usage des archivistes et autres fournisseurs de services de plan responsables de la technologie de l’information et des données. Ces directives fournissent des détails assez détaillés pour chacun des 12 éléments, qui vont de la description de ce que le DOL s’attend à voir dans un programme de cybersécurité formel et documenté à la mise en évidence de l’importance des évaluations internes annuelles des risques ainsi que des audits externes des contrôles de sécurité. Le document détaille également les mesures à prendre en cas de violation ou d’incident de cybersécurité. Bien que ce document vise principalement les contrôles pour les fournisseurs de services, il serait toujours pertinent pour les plans qui maintiennent les systèmes de technologie de l’information à l’interne. Même pour les régimes qui ne maintiennent pas de systèmes internes, le DOL a indiqué que ces meilleures pratiques sont destinées aux fiduciaires du régime dans leurs décisions d’embauche de fournisseurs. Notamment, le DOL a une déclaration générale dans ce document selon laquelle «les fiduciaires du régime ont l’obligation d’assurer une atténuation appropriée des risques de cybersécurité».

Conseils pour embaucher un fournisseur de services avec de solides pratiques de cybersécurité: le DOL s’est ensuite concentré directement sur les fiduciaires du plan, en publiant un document qui fournit des suggestions succinctes sur les étapes que les promoteurs et les administrateurs de régime pourraient prendre en ce qui concerne la diligence et la sous-traitance du plan. les fournisseurs de services. Par exemple, le guide DOL suggère les étapes suivantes:

• Renseignez-vous sur le programme de cybersécurité du fournisseur et comparez-le aux normes de l’industrie. Comme indiqué ci-dessus, les douze meilleures pratiques du programme de cybersécurité du DOL peuvent servir d’orientations utiles sur la vision du DOL de ce qui constitue un programme de cybersécurité solide.
• Recherchez des fournisseurs qui engagent un auditeur tiers pour examiner et valider annuellement son programme de cybersécurité. Le DOL suggère en outre que les fiduciaires du plan incluent une disposition dans le contrat avec le fournisseur exigeant qu’un audit annuel de conformité de cybersécurité par un tiers soit effectué.
• Évaluez les antécédents du fournisseur dans l’industrie en examinant les informations accessibles au public sur les incidents de sécurité passés et les procédures judiciaires impliquant le fournisseur.
• Renseignez-vous sur les violations de sécurité passées et comment le fournisseur a répondu.
• Renseignez-vous sur les polices d’assurance du fournisseur qui couvriraient les pertes causées par la cybersécurité et les violations de vol d’identité et envisagez d’exiger du fournisseur qu’il maintienne une assurance responsabilité professionnelle et responsabilité civile erreurs et omissions, une assurance responsabilité cybernétique et atteinte à la vie privée et / ou une garantie de fidélité / crime général.
• Négocier des dispositions claires dans le contrat concernant l’obligation du fournisseur de garder les informations privées privées et de respecter une norme stricte de soin pour protéger les informations confidentielles.
• Le contrat du fournisseur doit exiger le respect continu par le fournisseur des normes internes de cybersécurité et de sécurité de l’information, ainsi que le respect des lois sur la conservation et la destruction des enregistrements, la confidentialité et la sécurité des informations.
• Inclure dans le contrat du fournisseur le temps dont dispose le fournisseur pour informer le fiduciaire d’une violation de sécurité et exiger que le fournisseur enquête et aborde raisonnablement la cause de la violation. Le DOL stipule également que les fiduciaires du régime devraient examiner attentivement les dispositions contractuelles qui limiteraient la responsabilité du fournisseur en cas de violation de la cybersécurité.

Conseils de sécurité en ligne pour les participants et les bénéficiaires: reconnaissant apparemment que les participants et les bénéficiaires représentent une vulnérabilité principale du point de vue de la cybersécurité, le DOL a fourni ces conseils de sécurité que les participants doivent prendre en compte afin de réduire le risque de fraude ou de cyber-vol en ce qui concerne leurs avantages. Cette liste contient de nombreux sujets prévisibles, mais importants, tels que l’utilisation d’un mot de passe fort, la sensibilisation au phishing, la mise à jour des coordonnées personnelles et la surveillance des comptes. Bien que le DOL n’ait pas spécifiquement suggéré cela, les promoteurs et les administrateurs de régime peuvent envisager de diffuser ce guide (ou leur propre version du guide) aux participants pour améliorer leur sensibilisation à la cybersécurité et éviter de futures crises.

La vue de Proskauer

Compte tenu de la menace que la cybercriminalité représente pour les plans dans le monde post-COVID, c’est le moment idéal pour les promoteurs et les administrateurs de régimes d’analyser leurs propres vulnérabilités et d’établir un plan d’action pour atténuer le risque de perte associé aux violations de la sécurité des données. La diligence des fournisseurs et la passation de marchés sont une composante essentielle – mais pas la seule – d’un tel plan d’action. Les conseils du DOL fournissent un aperçu utile de la perspective du DOL sur cette question et devraient être considérés comme un point de données utile dans l’analyse plus large.

Le Département américain du travail entre dans la discussion sur la cybersécurité

Le contenu de cet article est destiné à fournir un guide général sur le sujet. Des conseils spécialisés doivent être recherchés sur votre situation particulière.