La Gramm-Leach-Bliley Act (GLBA), ou Financial Modernization Act de 1999, est une loi fédérale américaine qui régit la manière dont les institutions financières protègent les informations personnelles identifiables de leurs clients (PII). Selon la loi, les institutions financières doivent respecter la vie privée de leurs clients et empêcher tout accès non autorisé à leurs données sensibles.
🛑 Prenez le contrôle de la sécurité des terminaux avec NinjaOne.
Quel est l’objectif du GLBA ?
La loi Gramm-Leach-Bliley garantit que tous les services financiers et leurs filiales élaborent des pratiques et des politiques en matière de protection de la vie privée qui détaillent la manière dont ils recueillent, vendent et partagent les informations relatives aux consommateurs. Les consommateurs doivent également être autorisés à décider quelles informations une entreprise peut divulguer ou conserver.
Une exigence connexe traite de l’intégrité des données et de la gouvernance dans le cadre d’une politique globale de cybersécurité informatique.
L’histoire de la loi GLBA
La GLPA a abrogé de grandes parties de la loi bancaire Glass-Steagall de 1933 et de la loi sur les sociétés de portefeuille bancaires de 1956. Elle a modifié de nombreuses dispositions qui permettaient aux banques commerciales, aux maisons de courtage et aux compagnies d’assurance de fusionner. En conséquence, la loi Gramm-Leach-Bliley a créé un nouveau cadre structurel dans lequel une société holding bancaire peut légalement acquérir des banques d’investissement et des compagnies d’assurance à service complet, ce qui leur permet de s’engager dans un éventail plus diversifié d’activités financières.
Le catalyseur de la GLBA a été la fusion entre Citicorp et la compagnie d’assurance Travelers Group. La fusion a conduit à la formation du conglomérat Citigroup, qui offrait des services bancaires commerciaux, des services d’assurance et des activités liées aux valeurs mobilières, ce qui constituait alors une violation directe de la loi Glass-Steagall et de la loi sur les sociétés de portefeuille bancaires (Bank Holding Company Act). En conséquence de la GLBA, la Réserve fédérale américaine s’est vu accorder un pouvoir de contrôle élargi pour réglementer ces nouvelles structures financières, ce qui a eu pour effet de lever l’interdiction de fournir des services simultanés au sein des banques membres.
L’impact sur les entreprises informatiques
Vous pensez peut-être que les entreprises MSPs, MSSPs et les autres entreprises informatiques n’ont pas besoin de se familiariser avec la législation sur les services financiers ; cependant, la GLBA a un impact profond sur l’informatique et la sécurité des données. La loi s’applique à toute entreprise engagée de manière significative dans la prestation de produits ou de services financiers à ses consommateurs, y compris la sécurité des terminaux.
Elle exige des chefs d’entreprise qu’ils maintiennent un certain niveau de conformité à trois grandes séries de réglementations, chacune étant appelée “règle” : La Financial Privacy Rule, the Safeguard Rule, and the Pretexting Rule.
Vous pouvez lire l’intégralité de la loi (145 pages) sur le site de l’U.S. Government Printing Office (en anglais). Mais pour résumer :
Financial Privacy Rule
La Financial Privacy Rule (également connue sous le nom de Privacy Rule) stipule que toutes les institutions couvertes par la GLBA doivent informer tous les clients des informations collectées à leur sujet, de la manière dont ces informations sont et seront utilisées, où et avec qui elles sont et seront partagées, et de la manière dont elles sont protégées. Conformément au Fair Credit Reporting Act, le Privacy Rule permet également aux consommateurs d’interdire à toute institution financière de partager leurs PII avec des tiers.
Il convient de noter que ces avis de confidentialité doivent être émis dès le début de la relation du consommateur avec son institution financière, au moins une fois par an ou en cas de modification des politiques de confidentialité.
Safeguards Rule
La Safeguards Rule exige que les institutions protègent la confidentialité, l’intégrité et la sécurité des PII des consommateurs. Il s’agit évidemment d’un mandat très large, et la loi donne quelques précisions sur les différents types de garanties et d’outils de sécurité. Cependant, il appartient à l’entreprise de déterminer les stratégies de protection exactes dont elle a besoin pour garantir la sécurité des données.
Pour commencer, nous vous recommandons de regarder ce webinaire à la demande sur l’amélioration de votre posture de sécurité.
Pretexting Rule
Le troisième aspect majeur de la GLBA en matière de confidentialité des données est la Pretexting Rule. Le pretexting est un type de tactique d’ingénierie sociale queles acteurs malveillants utilisent pour convaincre les victimes de donner des informations précieuses ou l’accès à un service ou à un système. Le cybercriminel invente une histoire, ou un prétexte, pour manipuler émotionnellement la victime. Par exemple, un acteur malveillant trouve différentes informations sur vous dans les médias sociaux et, armé de ces données, tente de tromper une banque pour qu’elle lui donne accès à votre compte.
Ainsi, cette règle exige que les services financiers prennent des mesures proactives pour prévenir toutes les formes de pretexting, y compris les e-mails de hameçonnage (phishing). Il s’agirait notamment d’exiger des personnes qu’elles prouvent qu’elles sont bien celles qu’elles prétendent être pour accéder à des comptes spécifiques.
Réduisez les failles de sécurité et protégez les données critiques de votre entreprise grâce à l’outil de gestion des terminaux de NinjaOne.
Se conformer à la GLBA
Il convient de noter que la préparation et la mise en conformité avec la GLBA peuvent constituer une entreprise de grande envergure et qu’elles feront inévitablement double emploi avec votre stratégie de cybersécurité. Néanmoins, l’Infosec Institute propose dix étapes de haut niveau pour se conformer à la GLBA.
- Comprendre le règlement et la manière dont il s’applique à vous.
- Procédez à une évaluation des risques. Il est conseillé de suivre le cadre degestion des risques informatiques existant.
- Veillez à ce que des contrôles efficaces soient mis en place pour atténuer les risques.
- Protégez-vous des menaces internes.
- Les fournisseurs de services doivent se conformer à la loi GLBA.
- Confirmez que vous respectez les règles de confidentialité.
- Mettez à jour vos plans de continuité des activités et de reprise d’activité après incident .
- Préparez un plan écrit de sécurité de l’information. Nous vous suggérons d’utiliser notrecheck-list de la sécurité informatique comme guide.
- Tenez au courant les parties prenantes concernées ou votre conseil d’administration.
- Vérifiez, révisez et améliorez en permanence.
Pénalités GLBA
Le non-respect de la GLBA peut entraîner :
- Une amende de 100 000 dollars pour chaque infraction
- 10 000 dollars par infraction pour les responsables des institutions
- Jusqu’à 5 ans de prison pour les personnes responsables
Comment NinjaOne peut vous aider à vous mettre en conformité avec la GLBA
NinjaOne est une société de gestion des terminaux à laquelle plus de 17 000 clients font confiance dans le monde entier. Son outil de gestion des terminaux cloud-native automatise non seulement les aspects les plus difficiles de l’informatique, mais il est également certifié SOC 2 Type 2, avec un SSO disponible dans tous les packages et à tous les prix. Vous disposez également d’un contrôle précis des autorisations et de l’accès, y compris des restrictions RBAC précises et des restrictions de connexion basées sur l’IP.
Le logiciel de gestion informatique de NinjaOne ne vous force à rien et ne comporte pas de frais cachés. Si vous êtes prêt, demandez un devis gratuit, profitez d’un essai gratuit de 14 jours, ou regardez une démo.