Sauter la navigation

Le BSIF émet des exigences plus strictes à l’égard du signalement des incidents liés à la technologie et à la cybersécurité

Le BSIF émet des exigences plus strictes à l’égard du signalement des incidents liés à la technologie et à la cybersécurité
Par  Ellie Marshall, Ora Morison et Sam Mitchell (stagiaire)
24 août 2021

Le 13 août 2021, le Bureau du surintendant des institutions financières (le « BSIF ») a publié un nouveau préavis sur le signalement des incidents liés à la technologie et à la cybersécurité (le « préavis de 2021 »). Ce préavis remplace celui publié par le BSIF en 2019 (le « préavis de 2019 ») visant les institutions financières fédérales (les « IFF »), lequel établissait à quel moment et comment ces dernières sont tenues de signaler les incidents liés à la technologie et à la cybersécurité auprès du BSIF.

Aux termes du préavis de 2021, un incident lié à la technologie ou à la cybersécurité s’entend d’un incident qui a, ou qui pourrait avoir, des conséquences sur les activités d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements. Une IFF doit elle-même déterminer si un incident lié à la technologie ou à la cybersécurité qui lui est survenu répond ou non aux critères de signalement du BSIF. C’est cette détermination qui établira si l’incident en question doit faire l’objet d’un signalement auprès du BSIF.

De façon générale, le préavis de 2021 élargit considérablement la portée des exigences en matière de signalement d’incident. Ainsi, le seuil de signalement établi par le préavis de 2019, selon lequel seuls les incidents ayant des « répercussions importantes » ou des « répercussions opérationnelles importantes » devaient être signalés, a été modifié pour englober désormais tous les incidents ayant des répercussions, quelles qu’elles soient, sur les activités d’une IFF. Par exemple, aux termes du préavis de 2021, une IFF doit signaler tout incident qui entraîne l’activation de ses protocoles de gestion des incidents liés à la technologie et à la cybersécurité, ainsi que tout incident qui fait l’objet d’un signalement au conseil d’administration de l’IFF.  

INCIDENTS À SIGNALER

Aux termes du préavis de 2021, un incident à signaler peut présenter « n’importe laquelle » des caractéristiques établies dans la liste mise à jour par le BSIF. Les IFF doivent définir les niveaux de priorité et de gravité des incidents dans leur cadre de gestion des incidents. En cas de doute quant à savoir si un incident doit être signalé, les IFF doivent consulter le BSIF, et plus précisément leur chargé de surveillance.

Les caractéristiques d’un incident à signaler qui ont été mises à jour sont les suivantes : 

  • Conséquences possibles pour les autres IFF ou pour le système financier canadien;

  • Répercussions sur les systèmes des IFF touchant les règlements, la confirmation ou les paiements sur les marchés financiers (par exemple, l’infrastructure des marchés financiers), ou sur les services de paiement;

  • Répercussions sur les activités, les infrastructures, les données ou les systèmes des IFF, y compris (sans s’y limiter) sur la confidentialité, l’intégrité ou la disponibilité des données des clients;

  • Perturbations des systèmes ou des activités, y compris (sans s’y limiter) des pannes des services publics ou des centres de données ou la perte ou la dégradation de la connectivité;

  • Répercussions opérationnelles sur les systèmes, les infrastructures ou les données essentiels;

  • Activation des équipes ou des plans de reprise après sinistre ou déclaration de sinistre par un fournisseur externe ayant des répercussions sur l’IFF;

  • Répercussions opérationnelles pour les utilisateurs internes, lesquelles pourraient entraîner à leur tour des conséquences pour les clients externes ou les activités opérationnelles;

  • Nombre accru de clients externes touchés et répercussions négatives imminentes sur la réputation (par exemple, divulgation publique et/ou médiatique);

  • Répercussions sur un tiers ayant des conséquences pour l’IFF;

  • Activation de l’équipe ou des protocoles de gestion des incidents liés à la technologie et à la cybersécurité d’une IFF;

  • Signalement d’un incident au conseil d’administration ou à la haute direction;

  • Signalement d’un incident à l’une des entités ou personnes suivantes :

    • le Commissariat à la protection de la vie privée;

    • un autre organisme fédéral (par exemple, le Centre canadien pour la cybersécurité);

    • d’autres organismes de surveillance ou de réglementation canadiens ou étrangers;

    • les forces de l’ordre;

    • un conseiller interne ou externe;

  • Soumission d’une réclamation d’assurance contre le cyberrisque par suite d’un incident survenu à une IFF;

  • Incident dont l’IFF estime que le niveau de gravité est élevé ou critique (niveau de priorité/gravité 1 ou 2 selon l’évaluation interne de l’IFF);

  • Incident qui fait en sorte que les seuils internes de tolérance au risque ou de propension à prendre des risques ne sont pas respectés.

Comme le préavis de 2019, le préavis de 2021 présente une liste non exclusive d’exemples d’incidents à signaler.
 
Lorsqu’une IFF est incertaine si un incident doit être signalé, ou si un incident ne présente aucune des caractéristiques susmentionnées, le préavis de 2021 préconise le signalement à titre de précaution.

LIGNES DIRECTRICES EN MATIÈRE DE SIGNALEMENT

Aux termes du préavis de 2021, un incident à signaler doit, dans la mesure du possible, faire l’objet d’un signalement dans les 24 heures suivant sa survenance. Aux termes du préavis de 2019, un tel signalement devait avoir lieu dans les 72 heures suivant la survenance de l’incident. Tout signalement doit être fait par écrit auprès de la Division du risque lié aux technologies du BSIF et du chargé de surveillance de l’IFF au moyen du formulaire de signalement.

Les exigences relatives au signalement subséquent sont les mêmes que celles du préavis de 2019. Le BSIF s’attend à ce que les IFF fassent périodiquement le point sur les incidents qu’elles signalent à mesure que de nouveaux renseignements deviennent disponibles. Une fois l’incident maîtrisé, l’IFF doit rendre compte au BSIF de son examen postérieur à l’incident et des leçons qu’elle en a tirées.

CONSÉQUENCES DU DÉFAUT DE SIGNALER UN INCIDENT

Le préavis de 2021 présente également de nouvelles directives sur les conséquences du défaut de signaler un incident. Ces conséquences peuvent comprendre une surveillance accrue de l’IFF, notamment au moyen d’activités de suivi renforcées, l’inscription de l’IFF à la liste de surveillance, ou le classement de l’IFF à un stade d’intervention conformément au processus formel de surveillance du BSIF visant à identifier et à atténuer les risques associés à une IFF.

Pour en savoir davantage, communiquez avec :

Annick Demers             514-982-4017
Ellie Marshall                416-863-3053
Ora Morison                  416-863-2712

ou un autre membre de nos groupes Cybersécurité ou Réglementation des services financiers.