Bulletin

Le BSIF publie une note d’information sur la cybersécurité

Temps de lecture 8 minutes
S'inscrire
Partager

Aperçu

Bulletin Institutions financières et Technologies de l'information

Le 28 octobre 2013, le Bureau du surintendant des institutions financières Canada (« BSIF ») a diffusé une note d’information afin de donner des conseils aux institutions financières fédérales (« IFF ») sur l’évaluation de leur niveau de préparation en matière de cybersécurité[1]. Le BSIF avait déjà relevé les risques technologiques, plus particulièrement la cybersécurité, comme l’une de ses principales priorités dans son document intitulé « Plan et priorités pour 2013 2016 ». Est joint à la note d’information un questionnaire d’auto-évaluation visant à aider les IFF à découvrir les lacunes dans leur état de préparation en matière de cybersécurité et à donner une idée de la norme à laquelle elles devraient se conformer. L’établissement de ces pratiques exemplaires d’auto-évaluation à l’intention des IFF est une excellente initiative du BSIF, car les cyberrisques sont bien réels et de plus en plus répandus. De plus, dans le monde d’aujourd’hui, ils constituent une menace dont il faut tenir compte, particulièrement dans le cas des institutions financières, car ils peuvent toucher un très grand nombre de personnes.

La démarche suivie dans la note d’information s’inscrit dans l’approche globale du BSIF de la gestion des risques et de la gouvernance en matière de risque. À cet égard, est digne de mention le fait que l’un des éléments figurant dans la note d’information veut que la propension à prendre des risques et la tolérance au risque opérationnel des IFF (dont traite la Ligne directrice sur la gouvernance d’entreprise du BSIF) tiennent compte des risques en cybersécurité. De même, la note d’information reflète le modèle des « trois lignes de défense » dans lequel la direction est la première ligne de défense, les fonctions de contrôle et de supervision (comme la gestion des risques) constituent la deuxième ligne de défense et l’audit interne est la troisième ligne de défense. La note d’information indique les attentes du BSIF relativement à chaque ligne de défense dans ce domaine. Figure parmi les principes fondamentaux de la Ligne directrice sur la gouvernance d’entreprise du BSIF l’indépendance des fonctions de supervision par rapport à la gestion opérationnelle. La gestion des risques et l’audit interne constituent deux de ces fonctions de supervision qui s’appliquent au cyberrisque, et elles devraient jouer un rôle très important relativement à la gestion du cyberrisque.

Voici les grandes catégories d’évaluation énoncées dans la note d’information (accompagnées d’exemples) :

  • Organisation et ressources. L’IFF a assigné des responsabilités et des rôles particuliers et a affecté des ressources financières adéquates à la cybersécurité. L’IFF dispose aussi d’un personnel de sécurité compétent et formé dont les antécédents sont dûment vérifiés.
  • Cyberrisque et contrôle. L’IFF effectue une évaluation périodique et complète de la sécurité et fait des tests de pénétration, et prend des mesures pour atténuer les cyberrisques potentiels découlant de ses ententes d’impartition réputées importantes aux termes de la Ligne directrice B-10 du BSIF et de ses autres fournisseurs de services essentiels de TI.
  • Connaissance situationnelle. L’IFF tient une base de connaissances pan-organisationnelle de son inventaire des logiciels et du matériel, de l’information sur le réseau et des renseignements sur les événements liés à la sécurité. L’IFF effectue également des analyses automatisées des événements liés à la sécurité pour prévoir les éventuelles cyberattaques, y compris d’autres analyses spécialisées de ces événements, et participe aux programmes sectoriels sur la cybersécurité.
  • Gestion du risque de menace et de vulnérabilité. L’IFF a instauré des outils pour empêcher que des données protégées quittent l’entreprise, surveiller le trafic sortant et protéger les données stockées. L’IFF a aussi instauré les outils de sécurité standard (p. ex. antivirus, protection contre les attaques par déni de service distribué ou DDoS, pare-feux et systèmes de détection des intrusions) au moyen de techniques avancées de détection. De même, l’IFF dispose de nombreuses couches de défense pour contrer les attaques DDoS, répartir son réseau d’entreprise et instaurer des outils pour sécuriser les dispositifs mobiles et les réseaux sans fil.
  • Gestion des incidents liés à la cybersécurité. L’IFF a instauré des procédures écrites de contrôle et d’analyse des incidents et d’intervention, y compris le signalement progressif aux paliers supérieurs, d’intervention rapide et d’atténuation, et elle a également un processus d’examen postérieur à un incident et un plan de communication.
  • Gouvernance de la cybersécurité. L’IFF a établi des politiques à l’échelle de l’entreprise qui s’appliquent à tous les groupes et entités opérationnels (notamment les filiales, les coentreprises et les régions) et qui définissent clairement les rôles et les responsabilités de chacune des trois lignes de défense. L’IFF doit avoir des politiques claires, des processus de gestion des risques, un audit interne de la cybersécurité, une supervision par la haute direction et le conseil d’administration, et elle doit aussi effectuer une analyse comparative interne[2]. A été constitué un comité de la haute direction chargé du cyberrisque ou un autre comité de la haute direction devant consacrer suffisamment de temps aux discussions sur la mise en œuvre du cadre de cybersécurité. Le conseil ou un comité du conseil procède régulièrement à l’examen et à la discussion de la mise en œuvre du cadre de cybersécurité de l’IFF et du plan de mise en œuvre, ce qui comprend l’adéquation des mesures d’atténuation en vigueur.

Dans la note d’information, le BSIF souligne qu’il fournit le questionnaire afin d’aider les IFF à évaluer leur état de préparation, mais qu’il n’a pas l’intention, pour le moment, d’établir des consignes précises de contrôle du cyberrisque. Toutefois, le BSIF ajoute qu’il pourrait demander aux IFF de remplir le questionnaire ou d’expliquer autrement leurs pratiques de cybersécurité au moment des évaluations de surveillance, de sorte qu’il est fortement recommandé de bien connaître le questionnaire et les questions pertinentes, ainsi que l’efficacité des mesures mises de l’avant par les IFF. De plus, il est probable que les IFF tenteront de transférer aux fournisseurs de services de TI toutes les exigences relatives aux solutions que les IFF adoptent en réponse à la note d’information du BSIF, et de s’assurer qu’elles ont le droit contractuel d’auditer et d’évaluer de la même façon le fournisseur de services dans ce domaine.

[1] On peut trouver la note d’information au lien suivant :
http://www.osfi-bsif.gc.ca/app/DocRepository/1/fra/avis/bsif/cbrsk_f.pdf

[2] Cette liste n’est pas exhaustive, ne constituant qu’un échantillon des questions figurant dans l’auto-évaluation.

Contactez les auteurs

Pour plus d'informations ou pour discuter d'un sujet, veuillez nous contacter.

Contactez les auteurs

Auteurs

  • Koker Christensen, Associé | COCHEF DU GROUPE INSTITUTIONS FINANCIÈRES, Toronto, ON, +1 416 868 3495, kchristensen@fasken.com
  • Andrew S. Nunes, Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS, Toronto, ON, +1 416 865 4510, anunes@fasken.com
Koker Christensen Toronto Lawyer Koker Christensen Associé | COCHEF DU GROUPE INSTITUTIONS FINANCIÈRES Toronto, ON +1 416 868 3495
Andrew S. Nunes, Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS Andrew S. Nunes Associé | COCHEF TECHNOLOGIES, MÉDIAS ET TÉLÉCOMMUNICATIONS Toronto, ON +1 416 865 4510

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire