Sauter la navigation

Consultation : Nouvelle ligne directrice B-13 du BSIF sur la gestion du risque lié aux technologies et du cyberrisque

Consultation : Nouvelle ligne directrice B-13 du BSIF sur la gestion du risque lié aux technologies et du cyberrisque
24 novembre 2021

Le 9 novembre 2021, le Bureau du surintendant des institutions financières (« BSIF ») a lancé une consultation publique de trois mois sur le nouveau projet de ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque (le « projet de ligne directrice »). La publication de ce projet de ligne directrice fait suite à la consultation lancée par le BSIF en septembre 2020 sur les risques liés aux technologies dans le secteur financier (veuillez vous reporter à notre Bulletin Blakes intitulé Risques technologiques et résilience du secteur financier : le BSIF publie un document de travail). Le BSIF a publié également un résumé des commentaires reçus dans le cadre de cette consultation en mai 2021, lesquels commentaires sont abordés aussi dans le projet de ligne directrice et la lettre connexe du BSIF.
 
Le projet de ligne directrice s’appliquera à toutes les institutions financières fédérales (« IFF »), y compris les banques, les assureurs et les sociétés de fiducie et de prêt. Bien qu’aucune exception ne soit prévue pour les succursales canadiennes de banques étrangères autorisées et d’assureurs étrangers, le BSIF a indiqué que les IFF devront se conformer aux attentes énoncées dans le projet de ligne directrice en fonction de leur taille, de la nature, de la portée et de la complexité de leurs activités, et de leur profil de risque.
 
Le projet de ligne directrice vient compléter, et non remplacer, les lignes directrices et outils existants du BSIF portant sur la gestion du risque opérationnel et l’impartition d’activités, y compris la ligne directrice E‑21 : Gestion du risque opérationnel, la ligne directrice B‑10 : Impartition d’activités, de fonctions et de méthodes commerciales, ainsi que les versions récemment mises à jour de l’autoévaluation en matière de cybersécurité et du préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité. Le BSIF a réitéré également son intention de passer en revue ses lignes directrices sur l’impartition et la gestion du risque opérationnel en temps opportun.
 
Le projet de ligne directrice énonce les attentes du BSIF au chapitre du risque lié aux technologies de l’information et du cyberrisque, et est organisé en cinq domaines : gouvernance et gestion du risque; activités technologiques; cybersécurité; risque lié aux technologies et cyberrisque des fournisseurs tiers; et résilience technologique. Pour chaque domaine, le BSIF précise le résultat souhaité et établit des principes plus ou moins prescriptifs. Ces cinq domaines, ainsi que les résultats souhaités et les principes directeurs qui s’y rattachent, sont résumés dans le tableau ci-après.
 
L’adoption par le BSIF de cette approche à plusieurs niveaux a pour but d’offrir une certaine souplesse aux IFF, conformément aux lignes directrices fondées sur des principes, tout en clarifiant suffisamment les attentes en matière de réglementation. Comme il est indiqué ci-après, le BSIF sollicite particulièrement les commentaires des parties prenantes du secteur sur la question de savoir si, au chapitre des directives réglementaires, le projet de ligne directrice établit un juste équilibre entre une approche prescriptive et une approche fondée sur des principes.
 
Le résultat souhaité et les principes propres à chacun des cinq domaines sont résumés dans le tableau ci-après.
 
Les attentes du BSIF se veulent neutres sur le plan technologique (p. ex., le BSIF n’énonce aucune attente particulière concernant l’informatique quantique) et ont pour but d’aider les IFF à développer une plus grande résilience face au risque lié aux technologies et au cyberrisque. De plus, le projet de ligne directrice présente des définitions précises de « risque lié aux technologies » et de « cyberrisque » :

  • Le « risque lié aux technologies » s’entend du risque découlant de l’insuffisance, de la perturbation, de la défaillance, de la perte ou de l’utilisation malveillante des systèmes, de l’infrastructure, des personnes ou des processus de technologie de l’information qui comblent et appuient les besoins opérationnels, pouvant entraîner des pertes financières. Le BSIF précise par ailleurs qu’aux fins du projet de ligne directrice, le terme « technologie » désigne la technologie de l’information.

  • Le « cyberrisque » s’entend du risque de perte financière, de perturbation opérationnelle ou d’atteinte à la réputation découlant de l’accès non autorisé, de l’utilisation, malveillante ou non, de la défaillance, de la divulgation, de la perturbation, de la modification ou de la destruction des systèmes de technologie de l’information d’une IFF ou des données que contiennent de tels systèmes. Le BSIF précise également que le terme « cybersécurité » fait également référence à la « sécurité de l’information ».

Dans le cadre de cette consultation, laquelle prendra fin le 9 février 2022, le BSIF sollicite des commentaires sur le projet de ligne directrice, et plus particulièrement sur les questions suivantes :

  • la clarté des attentes énoncées par le BSIF dans ce projet de ligne directrice;

  • la mise en œuvre des attentes du BSIF en fonction de la taille, de la nature, de la portée et de la complexité des activités de l’IFF;

  • l’équilibre entre l’approche fondée sur des principes et la nature prescriptive des attentes du BSIF.

Il est prévu que le BSIF tienne une séance d’information au sujet du projet de ligne directrice dans les prochaines semaines.

Ligne directrice B-13 : Domaines, résultats et principes

DOMAINE 1 : Gouvernance et gestion du risque

Responsabilisation formelle, leadership, structure organisationnelle et cadre qui permettent la gestion du risque et la supervision de la technologie et de la cybersécurité

 

Résultat attendu : La gouvernance du risque lié aux technologies et du cyberrisque repose sur des responsabilités et des structures claires ainsi que sur des stratégies et des cadres détaillés. Principe 1 : Responsabilité et structure organisationnelle
La haute direction doit confier la responsabilité de la gestion du risque lié aux technologies et du cyberrisque aux cadres supérieurs. Elle doit également veiller à ce qu’une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer le risque lié aux technologies et le cyberrisque à l’échelle de l’IFF.

Principe 2 : Stratégie en matière de risque lié aux technologies et de cyberrisque
L’IFF doit définir, documenter, approuver et mettre en œuvre un ou plusieurs plans stratégiques en matière de technologie et de cybersécurité. Le ou les plans doivent correspondre à la stratégie d’affaires de l’IFF et établir des buts et des objectifs mesurables qui évoluent en fonction des changements dans l’environnement technologique et cybernétique de l’IFF.

Principe 3 : Cadre de gestion du risque lié aux technologies et du cyberrisque
L’IFF doit établir un cadre de gestion du risque lié aux technologies et du cyberrisque. Ce cadre doit établir la propension à prendre le risque lié aux technologies et le cyberrisque et définir les processus et exigences qui permettent à l’IFF de cerner, d’évaluer, de gérer et de surveiller le risque lié aux technologies et le cyberrisque et d’en rendre compte.

DOMAINE 2 : Activités technologiques

Gestion et supervision des risques liés à la conception, à la mise en œuvre et à la gestion des actifs et services technologiques
Résultat attendu : Un environnement technologique stable, extensible et résilient. Cet environnement est tenu à jour et soutenu par des processus d’exploitation technologiques robustes et durables. Principe 4 : Architecture technologique
L’IFF doit mettre en œuvre un cadre d’architecture technologique assorti de processus de soutien pour s’assurer que les solutions sont conçues conformément aux exigences opérationnelles, technologiques et de sécurité.

Principe 5 : Gestion des actifs technologiques
L’IFF doit tenir un inventaire à jour de tous les actifs technologiques à l’appui des processus ou fonctions opérationnels. Le processus de gestion des actifs de l’IFF doit traiter du classement des actifs pour faciliter le recensement et l’évaluation des risques, consigner les configurations pour assurer l’intégrité des actifs, prévoir la disposition sécuritaire des actifs à la fin de leur cycle de vie et surveiller et gérer l’actualité des technologies.

Principe 6 : Gestion de projets technologiques
Des processus efficaces sont en place pour régir et gérer les projets technologiques, du début à la fin, afin de s’assurer que les résultats des projets sont conformes aux objectifs opérationnels et qu’ils sont atteints en tenant compte de la propension de l’IFF à prendre des risques.

Principe 7 : Cycle de développement des systèmes
L’IFF doit mettre en œuvre un cadre du cycle de développement des systèmes pour assurer le développement, l’acquisition et l’entretien sécurisés de systèmes technologiques qui fonctionnent comme prévu à l’appui des objectifs opérationnels.

Principe 8 : Gestion du changement et des versions
L’IFF doit établir et mettre en œuvre un processus de gestion des changements technologiques et élaborer la documentation connexe pour s’assurer que les changements apportés aux actifs technologiques sont documentés, évalués, mis à l’essai, approuvés, mis en œuvre et vérifiés d’une manière contrôlée qui réduit au minimum la perturbation de l’environnement de production.

Principe 9 : Gestion des correctifs
L’IFF doit mettre en œuvre des processus de gestion des correctifs pour assurer l’application contrôlée et rapide des correctifs à l’échelle de son environnement technologique afin de corriger les vulnérabilités et les défauts.

Principe 10 : Gestion des incidents et des problèmes
L’IFF doit détecter, consigner, gérer, résoudre, suivre et signaler les incidents technologiques et en minimiser les répercussions.

Principe 11 : Mesure et suivi des services technologiques
L’IFF doit élaborer des normes de service et de capacité ainsi que des processus pour suivre la gestion opérationnelle de la technologie, afin de s’assurer que les besoins opérationnels sont satisfaits.

DOMAINE 3 : Cybersécurité

Gestion et supervision du cyberrisque
Résultat attendu : La posture technologique est sécuritaire et protège la confidentialité, l’intégrité et la disponibilité des actifs technologiques de l’IFF.
 
Principe 12 : Cerner
L’IFF doit disposer d’une gamme de pratiques, de capacités, de processus et d’outils pour cerner et évaluer les faiblesses de la cybersécurité qui pourraient être exploitées par les auteurs de menaces externes et internes.

Principe 13 : Prévenir
L’IFF doit concevoir, mettre en œuvre et tenir à jour des mesures et des contrôles de cybersécurité multicouches et préventifs pour protéger ses actifs technologiques.

Principe 14 : Détecter
L’IFF conçoit, met en œuvre et maintient des capacités de détection continue de sécurité pour permettre le suivi, le signalement et la tenue d’enquêtes judiciaires sur les incidents de cybersécurité.

Principe 15 : Répondre, rétablir et apprendre
L’IFF doit d’abord trier les cyberincidents ayant une incidence sur ses actifs technologiques, y compris les incidents provenant de tiers fournisseurs, et ensuite y répondre, les contenir, s’en remettre et en tirer des leçons..

Domaine 4 : Risque lié aux technologies et cyberrisque des fournisseurs tier

Attentes à l’égard des IFF qui collaborent avec des fournisseurs tiers pour obtenir des services technologiques et cybernétiques ou d’autres services qui donnent lieu à un cyberrisque ou risque lié aux technologies
Résultat attendu : Les technologies et activités cybernétiques des fournisseurs tiers sont fiables et sécuritaires. Principe 16 :
L’IFF doit veiller à ce que des contrôles et des processus efficaces soient mis en œuvre pour cerner, évaluer, gérer, surveiller, signaler et atténuer le risque lié aux technologies et le cyberrisque tout au long du cycle de vie du fournisseur tiers, c’est-à-dire de l’étape de la diligence raisonnable à la cessation ou à la sortie.

DOMAINE 5 : Résilience technologique

Capacité de fournir des services technologiques en dépit de la perturbation opérationnelle
Résultat attendu : Les services technologiques sont fournis comme prévu en cas de perturbation. Principes 17 et 18 : Reprise après sinistre
L’IFF doit établir et tenir à jour un cadre organisationnel de reprise après sinistre pour renforcer sa capacité de fournir des services technologiques en cas de perturbation tout en respectant sa tolérance au risque.

L’IFF doit mettre à l’essai des scénarios sur les capacités de reprise après sinistre pour confirmer que ses services technologiques fonctionnent comme prévu en cas de perturbation.


Pour en savoir davantage, communiquez avec :

Annick Demers                     514-982-4017
Vladimir Shatiryan               416-863-4154
Natalie LaMarche                 416-863-2734

ou un membre de nos groupes Cybersécurité, Réglementation des services financiers ou Technologie.