Écrit par Ruth Promislow, Simon Grant and Fatima Kawar

Les ransomwares continuent de présenter un risque croissant pour toutes les organisations. Les attaques de ransomware peuvent impliquer l’installation de logiciels malveillants conçus pour bloquer l’accès aux systèmes informatiques et / ou voler des données, et une demande d’extorsion correspondante pour des frais de rançon. La menace et l’impact de ces attaques ont considérablement augmenté en raison de ce qui suit :

• l’augmentation du nombre de groupes d’acteurs criminels ciblant des organisations de toutes tailles et de toutes les industries;
• a considérablement augmenté les demandes de paiement de rançon;
• la sophistication croissante des méthodes d’attaque; et
• l’évolution des stratégies des auteurs de menaces pour voler des données (en plus de les crypter) et publiquement « honte » aux organisations qui refusent de payer les demandes de rançon.

La menace croissante des rançongiciels et le rôle des entités du secteur financier dans la lutte contre les rançongiciels ont été mis en évidence par les récents avis du gouvernement au Canada et aux États-Unis, qui sont résumés ci-dessous. Des directives précises sont fournies aux institutions financières sous réglementation fédérale (IFF), ce qui nécessite un examen exhaustif des politiques et des protocoles existants pour assurer la conformité, ainsi que la préparation à ce risque.

Lignes directrices et exigences canadiennes

Le Bureau du surintendant des institutions financières (BSIF), à Ottawa, a récemment publié un avis mis à jour qui impose des exigences accrues sur la façon dont les IFF devraient divulguer et signaler les incidents liés à la technologie et à la cybersécurité. La mise à jour Avis sur les rapports sur les incidents de cybersécurité et de technologie (le préavis mis à jour du BSIF) remplace l’avis initial qui a été publié en janvier 2019 (l’avis du BSIF de 2019) et résumé dans notre aperçu précédent, Déclaration des incidents liés à la technologie et à la cybersécurité : Nouvelles consignes du BSIF.

Critères de déclaration au Canada

Le préavis mis à jour du BSIF apporte des changements importants aux critères de déclaration d’un incident :

• La définition d'« incident de technologie ou de cybersécurité » est élargie pour inclure « un incident qui a une incidence ou qui pourrait avoir une incidence sur les activités d’une IFF, y compris sa confidentialité, son intégrité ou la disponibilité de ses systèmes et de ses renseignements ». En comparaison, dans le préavis de 2019 du BSIF, l’incident a dû être évalué pour avoir une incidence importante sur les activités normales d’une IFF.
• Contrairement au préavis du BSIF de 2019 qui limitait la déclaration des incidents « évalués par une IFF comme étant d’un niveau de gravité élevé ou critique », il n’y a pas de seuil de gravité minimal pour la déclaration d’un incident au BSIF. Les IFF doivent plutôt définir les niveaux de priorité et de gravité dans leurs cadres de gestion des incidents; toutefois, le préavis mis à jour du BSIF n’établit pas de lignes directrices pour ces cadres. S’il n’est pas certain qu’un incident doit être signalé, on s’attend à ce que les IFF consultent leur superviseur principal au BSIF.
• Le préavis mis à jour du BSIF fournit une liste révisée et élargie des caractéristiques d’un incident à déclarationr, tout en modifiant les caractéristiques antérieures en supprimant les qualificatifs tels que « important », « important » et « étendu ». Même si un incident ne présente pas une ou plusieurs des caractéristiques identifiées, le préavis mis à jour du BSIF encourage tout de même les IFF à signaler l’incident. Le BSIF souligne que n’importe laquelle ou plusieurs des caractéristiques pourraient déclencher une obligation de déclaration. 

Voici quelques exemples de caractéristiques qui déclenchent une obligation de déclaration :

• L’impact a des conséquences potentielles pour d’autres IFF ou le système financier canadien;
• Perturbations des systèmes opérationnels et/ou des opérations;
• Impact opérationnel sur les systèmes, infrastructures ou données clés/essentiels; ou
• Incidence sur un tiers touchant l’IFF.

Voici une liste des caractéristiques nouvellement ajoutées qui déclenchent une obligation de déclaration : 

• Des équipes ou des plans de reprise après sinistre ont été activés ou une déclaration de sinistre a été faite par un fournisseur tiers qui a une incidence sur l’IFF;
• L’équipe ou les protocoles de gestion de la technologie ou des cyberincidents d’une IFF ont été activés;
• Un incident qui a été signalé au conseil d’administration ou à la haute direction;
• un incident d’IFF pour lequel une réclamation de cyberassurance a été introduite;
• Un incident évalué par une IFF comme étant d’une gravité élevée ou critique, d’un niveau ou d’une priorité/gravité/niveau 1 ou 2 élevé ou critique en fonction de l’évaluation interne de l’IFF; ou
• Incidents liés à la technologie ou à la cybersécurité qui enfreignent la propension ou les seuils internes pour le risque.

Exigences en matière de rapports au Canada

Le préavis mis à jour du BSIF comprend des modifications aux exigences de déclaration :

• Les IFF doivent signaler les incidents liés à la technologie ou à la cybersécurité « dans les 24 heures, ou plus tôt si possible ». Auparavant, le délai de déclaration était « aussi rapidement que possible, mais au plus tard 72 heures ».
• Les IFF sont tenues de soumettre un rapport initial à la Division des risques technologiques (à TRD@osfi-bsif.gc.ca) ainsi qu’au superviseur principal de l’IFF. Le préavis du BSIF de 2019 précisait seulement les renseignements requis dans le rapport et ne comprenait pas de formulaire. Maintenant, les incidents doivent être signalés à l’aide du nouveau Formulaire de déclaration et de résolution des incidents du BSIF fourni à la pièce II du préavis mis à jour du BSIF. Le nouveau formulaire ajoute des consignes sur le type de renseignements que le BSIF exige des IFF et offre des options de réponse préégnées.
• Le préavis mis à jour du BSIF indique maintenant une préférence pour que les rapports initiaux soient soumis par voie électronique. Si l’IFF n’est pas en mesure de soumettre une demande par voie électronique, un avis par téléphone suivi d’une présentation sur papier est acceptable.
• En plus du rapport initial, les IFF doivent fournir des mises à jour régulières à mesure que de nouveaux renseignements deviennent disponibles et jusqu’à ce que tous les détails sur l’incident aient été fournis. Ces mises à jour subséquentes peuvent être fournies sous n’importe quelle forme, mais le BSIF peut demander à l’IFF de modifier la méthode et la fréquence des mises à jour subséquentes dans certains cas. Les consignes relatives aux rapports subséquents n’ont pas changé depuis le préavis du BSIF de 2019. 
• Après la fermeture de l’incident, l’IFF doit soumettre au BSIF un examen post-incident et un rapport sur les leçons apprises. Ces consignes n’ont pas changé depuis le préavis du BSIF de 2019.

Défaut de rapport

Le préavis mis à jour du BSIF établit de nouvelles conséquences potentielles pour le défaut des IFF de signaler un incident technologique ou de cybersécurité.

• L’omission de faire rapport peut entraîner une surveillance accrue, qui pourrait prendre la forme d’une surveillance accrue des activités, d’une inscription sur une liste de surveillance ou d’une mise en scène conformément à l’approche d’intervention de surveillance du BSIF. Le Guide to Intervention for Federally Regulated Deposit-Taking Institutions vise à communiquer à quel stade une intervention se produirait généralement, mais les circonstances peuvent varier d’un cas à l’autre. Quatre étapes sont très préoccupantes, et le BSIF placera une IFF à l’étape en fonction de son évaluation des risques :
• Une IFF est classée à l’étape 1 (Alerte précoce) lorsque le BSIF cerne des lacunes importantes, mais qu’il ne se préoccupe pas encore de la sécurité ou de la solidité de l’IFF. À l’étape 1, le BSIF peut publier une lettre de surveillance, rencontrer l’IFF pour lui faire part de ses préoccupations et discuter des mesures correctives, surveiller l’IFF de façon progressive et effectuer des examens de surveillance améliorés ou plus fréquents.
• Le passage d’une IFF à l’étape 2 (Risque pour la viabilité financière ou la solvabilité) signifie que l’IFF soulève des préoccupations quant à sa sécurité et à sa solidité. Bien qu’il n’y ait pas de menaces immédiates à sa viabilité financière ou à sa solvabilité, l’IFF est vulnérable aux conditions commerciales et économiques défavorables. À l’étape 2, le BSIF peut améliorer la surveillance au moyen d’exigences en matière de rapports, effectuer des examens de surveillance de suivi, exiger de l’IFF qu’il intègre des mesures correctives dans son plan d’activités, exiger du vérificateur externe de l’IFF qu’il élargisse la portée de l’examen, exiger de l’IFF qu’il effectue une vérification spéciale et élaborer un plan d’urgence pour permettre au BSIF de prendre rapidement le contrôle des actifs au besoin.
• Une IFF passe à l’étape 3 (Viabilité financière future en cas de doute grave) lorsque le BSIF constate que l’IFF n’a pas remédié aux problèmes cernés à l’étape 2. L’étape 3 suggère que l’IFF « a de graves préoccupations en matière de sécurité et de solidité et qu’elle éprouve des problèmes qui constituent une menace importante pour sa viabilité financière ou sa solvabilité future, à moins que des mesures correctives efficaces ne soient prises rapidement ». À l’étape 3, le BSIF peut demander à des spécialistes externes d’évaluer certains secteurs, d’élargir la portée des restrictions opérationnelles, d’impliquer le personnel du BSIF dans les activités de l’IFF, d’élargir la planification d’urgence et de demander à l’IFF d’envisager des options telles que la restructuration ou la recherche d’un acheteur potentiel.
• Si une IFF est classée à l’étape 4 (non-viabilité/insolvabilité imminente), le BSIF a déterminé que l’IFF éprouve de graves difficultés financières et est sur le point de ne pas être viable. À l’étape 4, le BSIF peut assumer temporairement le contrôle des actifs de l’IFF, prendre le contrôle total des actifs de l’IFF ou demander au procureur général du Canada d’appliquer un décret de liquidation à l’égard de l’IFF.  

Autres lignes directrices à l’intention des organisations canadiennes

Dans une lettre open letter dated December 6, 2021, les ministres canadiens de la Défense nationale, de la Sécurité publique, de la Protection civile et du Commerce international, de la Promotion des exportations, des Petites Entreprises et du Développement économique ont examiné l’augmentation significative des menaces de rançongiciels et ont offert des conseils pour freiner cette tendance. Les ministres se réfèrent à un cyber-threat bulletin and a ransomware playbook récemment publié par le Centre canadien pour la cybersécurité comme guide sur les pratiques exemplaires en matière de protection contre les cybermenaces.

Avis aux États-Unis

Le Financial Crimes Enforcement Network (FinCEN) du département du Trésor des États-Unis a publié un nouvel avis sur Ransomware and the Use of the Financial System to Facilitate Ransom Payments en novembre 2021, remplaçant les directives d’octobre 2020 de FinCEN. Dans ce nouvel avis, FinCEN a souligné la fréquence et la gravité accrues des attaques de ransomwares contre les infrastructures américaines critiques. Cette tendance (comme indiqué dans le Rapport d’analyse des tendances financières publié par FinCEN le 15 octobre 2021) est dérivé des rapports d’activités suspectes des institutions financières. Entre le 1er janvier 2021 et le 30 juin 2021, 635 SAR ont été déposés et 458 transactions ont été déclarées, ce qui représente une augmentation de 30 % par rapport au total des 487 RAS déposés pour l’ensemble de l’année civile 2020.

Points à retenir

Les IFF doivent faire preuve de vigilance pour s’assurer qu’elles disposent de solides cadres de gestion des risques et de politiques et procédures correspondantes pour se préparer aux attaques de rançongiciels et aux obligations de conformité correspondantes. La préparation comprend :

• Cartographie des données : Une cartographie détaillée et approfondie de toutes les catégories de données sous la garde ou le contrôle de l’entité, des endroits où ces données résident, une analyse de sensibilité des données et un résumé des obligations de déclaration et de notification en cas de compromission de chaque catégorie de données (y compris les obligations réglementaires et contractuelles).
• Évaluation des risques : Une évaluation des risques pour l’organisation et de l’incidence de ces risques. Les risques peuvent inclure le cryptage des informations requises pour les opérations, l’exfiltration de données sensibles / précieuses, la compromission d’informations confidentielles de tiers et la honte publique par les auteurs de menaces sur la base de l’exfiltration de données. L’évaluation d’impact devrait comprendre une analyse des coûts pour l’organisation si l’un des risques se matérialisait, ainsi que le risque pour les tiers et le risque de litige correspondant pour l’organisation.
• Évaluation de la vulnérabilité : Avec un aperçu des risques pour l’organisation, une évaluation de l’endroit où se trouvent les vulnérabilités au sein de l’organisation (p. ex. erreur humaine, absence de protocoles spécifiques pour s’assurer que les politiques sont respectées, ou la disponibilité continue de protocoles hérités qui ne peuvent pas être protégés contre les menaces).
• Politiques et procédures : En ce qui concerne les risques et les vulnérabilités, un ensemble de politiques et de protocoles conçus pour minimiser le risque et la gravité de l’attaque, et optimiser la capacité d’identifier, de contenir et de corriger rapidement une attaque.
• En particulier, les plans d’intervention en cas d’incident devraient être mis à jour afin que les IFF soient prêtes à signaler la catégorie élargie d’incidents et dans le délai accéléré de 24 heures. La capacité de se conformer à ce délai de production de rapports accéléré exige que les organisations s’assurent qu’elles ont le protocole approprié en place pour faire rapidement remonter les préoccupations et identifier les incidents à signaler, mobiliser l’équipe d’intervention en cas d’incident à tout moment et faire participer les représentants internes et les experts externes appropriés dès le premier moment possible.
• Les contrats avec des tiers devraient être examinés pour s’assurer que les dispositions requises sont incluses pour répondre aux obligations de conformité révisées. Par exemple, dans la mesure où une compromission d’un tiers fournisseur de services déclencherait des obligations de déclaration de l’IFF, les ententes avec les tiers pourraient devoir être révisées pour tenir compte du calendrier de déclaration accéléré et de la catégorie élargie d’incidents à signaler.
• Les protocoles de traitement des paiements devraient être examinés pour tenir compte des exigences révisées du FINCEN.
• Essais : Mise à l’essai régulière de l’efficacité des politiques et des protocoles, et révisions pour combler les lacunes et l’évolution des menaces.
• Les IFF devraient entreprendre un exercice sur table pour mettre à l’essai leur plan d’intervention en cas d’incident avec les nouvelles exigences en matière de rapports.

La conformité des organisations financières comprend l’examen et le renouvellement réguliers de leur stratégie de gestion des risques. Bennett Jones Cybersecurity and Les groupes de services financiers seraient heureux de vous aider.