Passer au contenu principal
Ce site utilise des témoins de connexion (« cookies ») en conformité avec notre politique de vie privée. En continuant à utiliser ce site, vous acceptez notre utilisation des témoins de connexion.
Bulletin

Le BSIF publie un préavis concernant le signalement des incidents liés à la technologie et à la cybersécurité

Fasken
Temps de lecture 6 minutes
S'inscrire

Bulletin Services financiers

Le 24 janvier 2019, le Bureau du surintendant des institutions financières (BSIF) a publié un préavis concernant le signalement des incidents liés à la technologie et à la cybersécurité.

Le préavis énonce les exigences du BSIF en matière de signalement des incidents liés à la technologie et à la cybersécurité. Ces exigences s'appliquent à toutes les institutions financières fédérales (IFF) — y compris les banques, les sociétés de fiducie sous réglementation fédérale et les compagnies d'assurance.

Le préavis reflète la grande importance accordée par le BSIF aux enjeux liés à la technologie et à la cybersécurité. Les progrès des technologies de l'information et de la numérisation de l'information augmentent considérablement les risques dans ces secteurs. Il est clair que le BSIF souhaite être tenu au courant des incidents importants. Il s'attend à recevoir un signalement initial — lequel doit comprendre les renseignements importants — au plus tard dans les 72 heures suivant un incident, et s'attend également à ce que les IFF fassent fréquemment le point par la suite jusqu'à ce que l'incident soit résolu. Il est à noter que même si le préavis énonce les exigences qui doivent être respectées dans le cadre du signalement, il ne fait pas mention des attentes du BSIF à l'égard d'un cadre de gestion des incidents.

Le préavis entre en vigueur le 31 mars 2019 et remplacera toute directive antérieure relative au signalement d'incidents liés à la technologie et à la cybersécurité. Dans l'intervalle, les IFF sont tenues de continuer à signaler tout incident majeur conformément aux directives qui leur ont déjà été communiquées.

Critères relatifs au signalement

Le préavis énonce que lorsqu'une IFF identifie un incident lié à la technologie ou à la cybersécurité comme étant d'un niveau de gravité élevé ou critique, elle a l'obligation de le signaler au BSIF. L'importance relative des incidents devrait être définie dans un cadre de gestion des incidents de l'IFF.

Le préavis énumère certaines caractéristiques qu'un incident à signaler pourrait présenter, y compris les suivantes :

  • Des répercussions opérationnelles importantes sur les systèmes d'information ou les données clés/critiques;
  • Des répercussions importantes sur les données opérationnelles ou sur les données des clients de l'IFF; 
  • Des niveaux importants de perturbation des systèmes et des services;
  • Des perturbations prolongées des systèmes et des activités critiques;
  • Un nombre important ou croissant de clients externes touchés;
  • Des répercussions négatives imminentes sur la réputation;
  • Des répercussions importantes sur les échéances/obligations cruciales rattachées aux systèmes de règlement ou de paiement des marchés financiers;
  • Des conséquences importantes pour les autres IFF ou pour le système financier canadien;
  • Le signalement de l'incident au Commissariat à la protection de la vie privée du Canada ou aux organismes de réglementation canadiens/étrangers. 

Le préavis contient également une annexe qui donne des exemples d'incidents à signaler (cyberattaque, disponibilité et rétablissement des services, compromission liée à un tiers et menace d'extorsion).

Exigences relatives au signalement initial

Une IFF a l'obligation d'aviser le BSIF le plus rapidement possible après avoir déterminé qu'un incident lié à la technologie ou à la cybersécurité répondant aux caractéristiques énoncées dans le préavis s'est produit, et ce, dans les 72 heures. Ce signalement doit comprendre certains renseignements importants, dont les suivants :

  • La date et l'heure auxquelles l'incident a été classifié important;
  • La date et l'heure/la période auxquelles l'incident est survenu;
  • Le niveau de criticité de l'incident;
  • Le type d'incident;
  • Une description de l'incident, y compris :
  • les répercussions directes et indirectes connues, notamment sur la protection de la vie privée et des renseignements financiers;  
  • les répercussions connues sur un ou plusieurs segments ou secteurs d'activité, unités d'affaires ou régions, y compris tout tiers en cause;   
  • si l'incident est survenu chez un tiers ou a une incidence sur les services d'un tiers;
  • le nombre de clients touchés.
  • L'état actuel de la situation;
  • La date du signalement de l'incident à la haute direction ou au conseil d'administration;
  • Les mesures d'atténuation prises ou prévues;
  • La cause première connue ou soupçonnée.

Exigences en vue des signalements subséquents

Le BSIF s'attend à ce que les IFF fassent le point régulièrement (p. ex., à tous les jours), au fur et à mesure que de nouveaux renseignements deviennent disponibles. Le BSIF s'attend à ce que les IFF fassent le point sur la situation, notamment au sujet des mesures et des plans de redressement à court et à long terme, et ce jusqu'à ce que l'incident soit maîtrisé ou résolu.

Finalement, l'IFF doit rendre compte au BSIF de son analyse post-incident et des leçons apprises.  

    Abonnement

    Recevez des mises à jour de notre équipe

    S'inscrire