Publié le 24 octobre 2024 20h37. La cybersécurité des régimes de retraite et des plans d’avantages sociaux est devenue une priorité absolue, selon les récentes directives du ministère du Travail américain, qui s’étend désormais à tous les types de régimes, y compris ceux liés à la santé et au bien-être.
- Le ministère du Travail américain (DOL) a mis à jour ses recommandations en matière de cybersécurité en septembre 2024, élargissant son champ d’application à tous les régimes de retraite et d’avantages sociaux.
- Les employeurs doivent collaborer avec leurs équipes de cybersécurité et s’assurer que leurs prestataires de services respectent les meilleures pratiques recommandées par le DOL.
- La notification rapide en cas de violation de données est une obligation clé, même si aucune information n’a été compromise.
La protection des données des participants aux régimes de retraite et d’avantages sociaux est un enjeu crucial, souligné par Julie Tracy, responsable CISSP des services de cybersécurité et de sécurité de l’information chez Withium, lors d’un récent webinaire. Comme le verrouillage d’une porte assure la sécurité physique, la cybersécurité est devenue une fonction essentielle pour protéger les actifs et les informations sensibles.
Selon Tracy, tous les plans devraient disposer d’un programme de cybersécurité en place. Donna Nevolo, CPA, leader du marché et associée chez Withium, a précisé que le travail de cybersécurité dans le domaine des avantages sociaux des employés contribue à la sécurité des données, à la réduction des cyber-risques et à la conformité aux réglementations du DOL.
Les recommandations du DOL, initialement publiées en avril 2021, ont été mises à jour pour inclure des conseils plus précis sur l’authentification multifacteur (MFA), la sensibilisation au phishing et la sécurisation des systèmes accessibles sur Internet. Ces directives s’adressent aux administrateurs de régimes, aux prestataires de services et aux fiduciaires, les incitant à évaluer et à renforcer leurs pratiques de sécurité. Vous pouvez consulter les documents originaux ici, là, ainsi que les guides pratiques sur l’embauche de prestataires de services, les meilleures pratiques et les conseils de sécurité en ligne.
En cas de violation de données, Tracy souligne l’importance d’une enquête approfondie pour déterminer la cause, les informations compromises et les mesures à prendre pour éviter que cela ne se reproduise. Le DOL s’attend à une enquête et peut exiger la soumission de documents ou une convocation à comparaître.
La responsabilité ultime de la cybersécurité incombe à la direction et au conseil d’administration d’une organisation, qui doivent allouer les ressources nécessaires à la mise en place et au maintien de la sécurité. Il est également crucial d’évaluer les pratiques de cybersécurité des prestataires de services tiers, car leurs politiques ne sont pas automatiquement couvertes par celles de l’organisation.
Tracy a mis en garde contre le risque de récidive, soulignant que 73 % des organisations victimes d’une faille de sécurité en subissent une deuxième. Elle a insisté sur le fait que le DOL prend ces directives très au sérieux, même s’il s’agit officiellement d’une « période de conformité volontaire ». « Ils s’attendent toujours à ce que vous vous conformiez aux directives », a-t-elle déclaré, ajoutant que la conformité deviendra inévitablement obligatoire.
Enfin, Tracy a souligné l’importance de la notification en cas d’incident, même en l’absence de compromission de données. Le DOL exige que les participants soient informés de toute tentative d’accès non autorisé et des mesures prises pour y remédier.
