Conformité à la loi SHIELD de New York
La loi SHIELD de l'État de New York exige que les entreprises protègent les informations privées à l'aide de sauvegardes raisonnables. Découvrez comment ImmuniWeb vous aide à répondre à ses exigences en matière de sauvegardes techniques.
Conformité à la loi SHIELD de New York
What Is the New York SHIELD Act?
La loi SHIELD a élargi les obligations de notification de violation de New York (section 899-aa) et, pour la première fois, imposé une exigence proactive en matière de sécurité des données (section 899-bb): toute entreprise détenant des informations privées de résidents de l’État de New York doit développer, mettre en œuvre et maintenir des mesures de protection raisonnables pour sécuriser ces informations.
La loi décrit des mesures de protection administratives, techniques et physiques. Ses exemples de mesures techniques incluent l'évaluation des risques dans la conception des réseaux et des logiciels ainsi que le test et la surveillance réguliers de l'efficacité des contrôles clés.
See how ImmuniWeb helps you meet the SHIELD Act's reasonable technical safeguards - testing and monitoring the apps that hold private information. Request a demo· or run a free Community Edition test.
Qui doit se conformer au SHIELD Act?
The SHIELD Act applies to:
- Any person or business that owns or licenses computerized private information of New York residents.
- Businesses outside New York that hold the private information of NY residents (extraterritorial reach).
- Tous secteurs et tailles – avec des exigences allégées pour les petites entreprises, adaptées à leur taille et à leur complexité.
Any business running web and mobile applications that hold private information of NY residents must secure and test them.
Key SHIELD Act Requirements for Application Security
Application security sits within the reasonable technical safeguards of Section 899-bb:
- Assess risks in software design: assess risks in network and software design and in information processing, transmission and storage.
- Detect, prevent and respond: detect, prevent and respond to attacks or system failures.
- Tester et surveiller les contrôles clés: tester et surveiller régulièrement l’efficacité des contrôles, systèmes et procédures clés.
Les exigences de sécurité de la loi SHIELD en détail
Section 899-bb - Mesures techniques raisonnables
L’article 899-bb attend des entreprises qu’elles évaluent les risques liés à la conception des réseaux et des logiciels, et qu’elles détectent, préviennent et répondent aux attaques. Les tests d’intrusion et le balisage des vulnérabilités des applications web et mobiles constituent des moyens pratiques pour évaluer les risques de conception logicielle et valider que les contrôles résistent à des attaques réelles.
Testing and Monitoring Key Controls
La loi exige expressément de tester et de surveiller régulièrement l’efficacité des contrôles, systèmes et procédures clés. Des scans continus et des tests d’intrusion périodiques, associés à une surveillance de la surface d’attaque, opérationnalisent cette exigence.
Risques courants des applications Web et mobiles à remédier
The application risks the SHIELD Act expects you to address map closely to the OWASP Top 10:
- Broken Access Control — users reaching data or actions they should not.
- Échecs cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
- Échecs d'identification et d'authentification — gestion faible des connexions, des sessions ou des identifiants.
- Software & Data Integrity Failures — untrusted updates, insecure CI/CD pipelines.
- Échecs de la journalisation et de la surveillance de la sécurité — attaques non détectées.
- Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
How to Approach SHIELD Act Application Security with ImmuniWeb
- Map your exposure. Inventory internet-facing apps holding private information with ImmuniWeb Discovery.
- Testez les applications web avec On-Demand (tests d'intrusion) et Neuron (balayage).
- Testez les applications mobiles avec MobileSuite et Neuron Mobile.
- Tester régulièrement les contrôles clés et remédier grâce à des rapports exploitables et exempts de faux positifs.
- Keep testing continuously with Continuous in CI/CD.
- Monitor for leaks with Discovery dark-web monitoring.
How ImmuniWeb Helps You Achieve SHIELD Act Compliance
ImmuniWeb helps businesses implement and evidence the reasonable technical safeguards Section 899-bb requires.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| Assess software-design risks | Identifier les vulnérabilités dans les applications et les logiciels. | On-Demand, Neuron, Discovery |
| Détecter et répondre | Détecter, prévenir et répondre aux attaques. | Neuron, Continuous, Discovery |
| Tester les contrôles clés | Tester et surveiller régulièrement l’efficacité des contrôles. | On-Demand, Neuron, MobileSuite, Neuron Mobile |
ImmuniWeb On-Demand et MobileSuite proposent des tests d’intrusion Web et mobiles ; Neuron et Neuron Mobile offrent des analyses automatisées ; Continuous intègre les tests au cycle CI/CD ; et Discovery cartographie votre surface d’attaque et surveille le Dark Web – démontrant ainsi les mesures de sécurité techniques raisonnables requises par l'Acte SHIELD.
SHIELD Act vs International Frameworks
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Approche Sécurité App. Comment ImmuniWeb se positionne |
|---|---|---|
| New York SHIELD Act | Reasonable technical safeguards (899-bb) | Tests d’intrusion Web/mobile, analyse, ASM, surveillance du Dark Web |
| CCPA Californie | Sécurité raisonnable | Les mêmes tests couvrent les deux |
| NYDFS Part 500 | Pentest + évaluations 500.5 | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventory of internet-facing apps holding private information
- Applications web testées contre le Top 10 OWASP
- Applications mobiles testées par rapport à la liste OWASP Mobile Top 10
- Software-design risks assessed and addressed
- Contrôles clés régulièrement testés et surveillés
- Les failles identifiées sont corrigées et retestées ; les enregistrements sont conservés
- Breach-notification process and exposure monitoring in place
Pourquoi la conformité à la loi SHIELD est importante
La loi SHIELD est appliquée par le Procureur Général de New York, qui peut demander des sanctions civiles pour non-respect des obligations de mise en place de mesures de protection raisonnables ou de notification des violations. Étant donné qu’elle s’applique à toute entreprise détenant des informations privées de résidents de l’État de New York, son champ d’application est large – s’étendant bien au-delà des entreprises basées à New York.
Les applications web et mobiles étant un vecteur de violation majeur, les tester et les surveiller de manière démonstrable est l’un des moyens les plus clairs de se conformer aux mesures de protection techniques raisonnables exigées par la loi SHIELD.