À mesure que les institutions financières fédérales (les « IFF ») augmentent leur recours à la technologie et à des systèmes et des réseaux de plus en plus complexes et interconnectés, ainsi que leur offre de services électroniques et qu’elles collaborent avec des fournisseurs de services technologiques, la cybersécurité devient, pour ces IFF et les organismes qui les réglementent, une source constante d’inquiétude. Pour se protéger des dommages potentiellement considérables qu’une atteinte à la protection des données pourrait faire subir au secteur financier canadien, le Bureau du surintendant des institutions financières (le « BSIF ») a graduellement intégré la cybersécurité à sa surveillance continue du risque, confiant souvent aux IFF l’initiative à cet égard en ne leur fournissant que des lignes directrices limitées en matière de réglementation.

2012 : SURVEILLANCE DES SERVICES TECHNOLOGIQUES D’IMPARTITION  

En février 2012, le BSIF a publié une note d’information (la « note d’information de 2012 ») pour rappeler aux IFF que les attentes exprimées dans la ligne directrice B-10, Impartition d’activités, de fonctions et de méthodes commerciales (la « ligne directrice B-10 »)étaient « toujours en vigueur et qu’elles touchent » les services technologiques d’impartition, comme l’informatique en nuage. En outre, la note d’information de 2012 souligne l’importance pour les IFF d’évaluer leur capacité à satisfaire à toutes les attentes exprimées dans la ligne directrice B-10 à l’égard des ententes d’impartition importantes sur le plan, notamment, de la confidentialité, de la sécurité et de la séparation des biens, de la planification d’urgence, de l’emplacement des documents, des droits d’accès et de vérification, de la sous-traitance et de la surveillance.

Bien que la note d’information de 2012 ne fasse pas mention de la « cybersécurité », elle confirme que tout risque associé aux ententes d’impartition de services technologiques est visé par les attentes existantes du BSIF en matière de gestion des risques d’impartition. Plutôt que de désigner des technologies précises, d’élaborer des lignes directrices propres aux technologies ou d’exiger la conformité à certaines normes (ce que ne faisaient ni la ligne directrice B-10 ni la note d’information de 2012), le BSIF compte sur le jugement de chaque IFF pour l’application des lignes directrices et des principes de gestion des risques existants aux risques liés à la technologie et à la cybersécurité auxquels est exposée l’IFF. Cette approche permet au BSIF d’éviter la multiplication de normes ayant une portée trop (ou pas assez) large qui deviennent rapidement obsolètes en raison de l’évolution des technologies, mais elle peut souvent laisser les IFF dans l’incertitude quant aux attentes de l’organisme.

2013 : AUTOÉVALUATION EN MATIÈRE DE CYBERSÉCURITÉ

Reconnaissant que les cyberattaques sont de plus en plus fréquentes et sophistiquées et qu’elles alourdissent le profil de risque de nombreux organismes, en mai 2013, le BSIF a fait de la cybersécurité une priorité dans son Plan et priorités pour 2013-2016, mentionnant qu’au cours des 3 années suivantes, il étofferait ses « ressources dans le domaine du risque opérationnel de façon à pouvoir effectuer un plus grand nombre de missions de contrôle portant, par exemple, sur la sécurité informatique, la qualité des systèmes de données et la gestion globale de l’évolution du risque opérationnel dans les [IFF] ». Le BSIF a également indiqué que ses attentes à l’égard des unités responsables du risque opérationnel des IFF seront plus élevées, car il s’attend à ce que ces dernières renforcent leurs pratiques exemplaires. Entre autres choses, l’organisme a proposé d’effectuer un examen intersectoriel ciblé du risque lié à la technologie dans les principales IFF en vue de signaler les lacunes existantes aux IFF afin qu’elles puissent améliorer leurs pratiques. Plus tard cette année-là, le BSIF a publié ses Conseils sur l’autoévaluation en matière de cybersécurité(l’« autoévaluation »). En précisant quels sont « les attributs et particularités souhaitables des pratiques de cybersécurité », l’autoévaluation permet aux IFF d’évaluer leur état de préparation, et de mettre en œuvre et de tenir à jour des pratiques efficaces en matière de cybersécurité. Le formulaire d’autoévaluation compte 6 grandes catégories permettant chacune aux IFF de coter leur degré actuel de maturité sur une échelle de 1 à 4 (1 signifiant que l’IFF n’a pas mis en œuvre ce principe et 4, que l’IFF a mis en œuvre le principe à l’échelle de l’entreprise). Les IFF doivent s’évaluer à l’égard des critères suivants :

  • Organisation et ressources : Les critères visent à déterminer qui doit rendre compte des résultats et des ressources financières du programme de cybersécurité et qui en a la charge; quelles sont les structures et les capacités organisationnelles de l’IFF à l’égard de la gestion de la cybersécurité; et si des formations et des séances de sensibilisation sont offertes aux employés.
  • Évaluation du cyberrisque et du contrôle : Les critères ont trait aux processus de l’IFF aux fins de l’évaluation du cyberrisque dans l’ensemble de ses secteurs d’activité et régions; à l’évaluation de son exposition aux cyberrisques découlant d’ententes d’impartition importantes et de fournisseurs de services de TI essentiels et à la prise de mesures pour les atténuer; à sa prise en compte du cyberrisque dans les processus de gestion du changement et de diligence raisonnable; aux examens de la vulnérabilité de l’actif de TI, des serveurs et de l’infrastructure réseau menés pour déceler les lacunes du contrôle de la sécurité; aux exercices de simulation de cyberattaques et de reprise des activités; et à l’incidence d’une interruption prolongée du service Internet à l’échelle du Canada.
  • Connaissance situationnelle : Les critères visent à déterminer si l’IFF tient une base de connaissances panorganisationnelle à jour de ses utilisateurs, dispositifs et applications de même que des rapports entre eux; si elle conserve centralement des données historiques sur les événements liés à la sécurité; si elle analyse les événements liés à la sécurité; si elle surveille et suit les incidents liés à la cybersécurité dans le secteur et de manière plus globale; et si elle est abonnée aux services de renseignements sectoriels sur la cybersécurité.
  • Gestion du risque de menace et de vulnérabilité : Les critères visent à déterminer si l’IFF a instauré des outils et des mécanismes de contrôle pour détecter et empêcher la perte de données ainsi que pour détecter et atténuer les risques de cyberincidents; si elle a instauré les outils de sécurité pour les logiciels, l’infrastructure réseau, la gestion de la configuration ainsi que la gestion et l’accès réseau; si l’IFF gère le risque de cybersécurité visant les ententes d’impartition importantes et les ententes avec des fournisseurs de services de TI essentiels dans le cadre de son processus de diligence raisonnable; et si elle offre des séances de sensibilisation à la cybersécurité et d’information à ce sujet à sa clientèle et si elle prend des mesures additionnelles pour protéger sa clientèle.
  • Gestion des incidents liés à la cybersécurité : Les critères sont liés au cadre de gestion des incidents de l’IFF de même qu’aux procédures et aux processus connexes (y compris les processus de gestion du changement, les protocoles de signalement progressif des incidents et de communication) ainsi qu’à sa capacité de réagir rapidement aux cyberincidents, de procéder à la reprise des activités après l’interruption des services, d’assurer l’intégrité des systèmes et de recouvrer les données perdues ou corrompues et de réaliser un examen postérieur à un incident lié à la cybersécurité.
  • Gouvernance de la cybersécurité : Les critères sont divisés en cinq sous-catégories. La première sous-catégorie porte sur l’établissement par l’IFF d’une politique de cybersécurité à l’échelle de l’entreprise qui est liée à d’autres politiques pertinentes de gestion du risque, ainsi que sur l’établissement d’une stratégie de cybersécurité (et d’un plan de mise en œuvre) qui est conforme à sa stratégie d’affaires. La deuxième sous-catégorie est liée à l’approche de l’IFF à l’égard de la gestion du risque applicable au risque inhérent à la cybersécurité. La troisième sous-catégorie est axée sur les pratiques d’audit interne de l’IFF qui ont trait à la cybersécurité. La quatrième sous-catégorie porte sur la participation et le rôle de la haute direction et du conseil d’administration de l’IFF dans le traitement du cyberrisque et sur la mise en œuvre du cadre de cybersécurité par l’IFF. La cinquième et dernière sous-catégorie traite de l’exécution par l’IFF d’un examen comparatif externe de son cadre de cybersécurité.

Dans l’esprit de son approche antérieure, le BSIF a déclaré qu’il « n’a pas l’intention […] d’établir de consignes précises de contrôle et de gestion du cyberrisque », mais qu’il « pourrait demander aux [IFF] de remplir le formulaire [d’autoévaluation] facultatif ou insister autrement sur les pratiques de cybersécurité au moment des évaluations de surveillance ». Pour le moment, le BSIF n’a pas établi de consignes précises supplémentaires au sujet du cyberrisque, et il n’a pas modifié le formulaire d’autoévaluation initial depuis 2013.

2014 ET 2015 : PRIORITÉ À LA CYBERSÉCURITÉ

Depuis 2013, le BSIF a continuellement fait savoir dans ses rapports sur les plans et les priorités que la cybersécurité est un risque clé. Dans les rapports publiés en 2014 et en 2015, l’organisme classe les risques liés à la cybersécurité et à l’impartition dans les risques opérationnels. Dans son rapport 2015, il indique qu’il continuera de s’employer à atténuer l’exposition au risque dans le domaine de la cybersécurité et qu’il cherche à renforcer ses méthodes de surveillance, c’est-à-dire :

  • suivre l’évolution de la législation fédérale en matière de cybersécurité et coordonner ses activités dans ce domaine en conséquence;
  • effectuer le contrôle et le suivi des mesures déployées par les IFF pour se conformer à l’autoévaluation (c’est-à-dire le respect de leur plan d’intervention);
  • donner suite aux examens portant sur l’état de préparation aux attaques par déni de service distribué, la cybersécurité, la gouvernance de la TI et la gestion des risques.

Le BSIF prévoit également approfondir l’examen des lacunes constatées dans le cadre de la surveillance de la conformité.

À VENIR : INTÉGRATION DE LA CYBERSÉCURITÉ À LA GESTION DU RISQUE OPÉRATIONNEL

Plus tôt cette année, le BSIF a publié son Projet de ligne directrice E-21, Gestion du risque opérationnel(le « projet de ligne directrice ») aux fins de sollicitation de commentaires. Dans sa forme initiale, le projet de ligne directrice ne décrivait pas spécifiquement les enjeux de cybersécurité ou de technologie, mais le risque opérationnel y était défini comme étant « le risque d’encourir des pertes découlant de lacunes ou de défauts attribuables aux ressources humaines et matérielles, telles que des procédures et des systèmes internes, ou résultant d’événements déclencheurs externes », ce qui peut s’appliquer facilement aux risques liés à la cybersécurité et à la technologie. Tel qu’il en était question dans notre Bulletin Blakes de septembre 2015 intitulé Quel sera l’impact du projet de ligne directrice sur la gestion du risque opérationnel pour les institutions financières fédérales?, une fois le projet de ligne directrice finalisé, le BSIF s’attendra à ce que les IFF, à l’exception des succursales de banques étrangères et de sociétés d’assurances étrangères, établissent et maintiennent en place un dispositif pour contrôler la gestion du risque opérationnel à l’échelle de l’entreprise inspiré des quatre principes directeurs suivants :

  • La gestion du risque opérationnel est bien consignée et entièrement intégrée au programme global de gestion des risques de l’IFF.
  • La gestion du risque opérationnel soutient la structure globale de gouvernance de l’IFF. À ce titre, l’IFF doit produire et mettre en application une déclaration de sa propension à prendre des risques qui fait partie de son cadre de propension à prendre des risques approuvé par le conseil d’administration décrit dans la Ligne directrice Gouvernance d’entreprise du BSIF. Cette déclaration devrait être revue régulièrement par le conseil d’administration et la haute direction de l’IFF.
  • L’IFF veille à la responsabilisation efficace des acteurs de la gestion du risque opérationnel. Une structure fiable, telle que le modèle à trois lignes de défense, permet d’établir une distinction entre les diverses pratiques clés de la gestion du risque opérationnel et d’en faire un examen indépendant et une analyse critique adéquate. L’instauration de cette mesure en termes de structure opérationnelle dépend du modèle d’affaires et du profil de risque de l’IFF.
  • L’IFF veille à l’identification et à l’évaluation complète du risque opérationnel à l’aide d’outils de gestion adéquats. Le fait d’avoir à sa disposition une série d’outils de gestion du risque opérationnel permet à l’institution de réunir des informations pertinentes sur le risque opérationnel et de les communiquer à l’interne et aux autorités de surveillance.

Tout comme l’autoévaluation, les principes établis dans le projet de ligne directrice visent à promouvoir des normes sans déterminer la façon de les respecter. À plusieurs égards, l’autoévaluation complète le projet de ligne directrice. Les critères de gouvernance de la cybersécurité de l’autoévaluation rappellent les trois lignes de défense du projet de ligne directrice. Les deux documents prévoient que les IFF implanteront un système de surveillance croissante du risque, comprenant l’audit interne et des examens indépendants afin d’évaluer les cadres de gestion du risque respectifs. Dans la mesure où l’autoévaluation offre davantage de détails que le projet de ligne directrice en ce qui concerne les éléments qui composent les différentes lignes de défense, les IFF peuvent utiliser les mesures déployées pour se conformer à l’autoévaluation pour compléter leur cadre de gestion du risque opérationnel une fois le projet de ligne directrice dans sa version finale. La période de sollicitation des commentaires s’est terminée le 9 octobre 2015; il reste à voir si le BSIF apportera des modifications importantes à son projet.