Écrit par Stephen Burns, Michael Whitt, Sébastien Gittens, Ruth Promislow, Matthew Flynn, HC Lee and Amy Wong

Le 9 novembre 2021, le Bureau du surintendant des institutions financières (BSI) a lancé une consultation publique de trois mois sur le projet de ligne directrice B-13 : Technology and Cyber Risk Management.

Le projet de ligne directrice énonce les attentes du BSIF à l’égard de la « gestion de la technologie et des cyberrisques » applicables aux institutions financières fédérales (IFF), comme les banques, les sociétés de fiducie et de prêt constituées en société ou agréées par le gouvernement fédéral, les sociétés d’assurances et les régimes de retraite assujettis à la surveillance du gouvernement fédéral. En particulier, l’ébauche de la ligne directrice décrit diverses attentes concernant l’élaboration de cadres et de politiques de gestion solides par les IFF afin de cerner les risques technologiques et cybernétiques, d’y réagir et de s’en remettre.

Le projet de ligne directrice énonce cinq « domaines » détaillant la portée des attentes du BSF. Vous trouverez ci-dessous un résumé de haut niveau des points clés: 

1. Gouvernance et gestion des risques : La haute direction des IFF devrait établir une « structure organisationnelle appropriée » qui désigne clairement les responsabilités des cadres supérieurs et qui alloue suffisamment de personnel, de ressources, d’expertise en la matière et de formation. La mise en œuvre de ce domaine comprend l’établissement d’un cadre de gestion de la technologie et des cyberrisques qui comprend « des politiques, des normes et des processus régissant tous les domaines de la technologie et des cyberrisques, qui sont approuvés, régulièrement examinés et mis en œuvre de façon uniforme à l’échelle de l’organisation ».
2. Opérations technologiques : Les IFF devraient maintenir des environnements technologiques « stables, évolutifs et résilients ». Le cadre d’architecture d’une IFF devrait faciliter l’architecture de TI à l’échelle de l’organisation qui appuie ses objectifs opérationnels et ses exigences en matière de sécurité. Les biens et les systèmes technologiques devraient être surveillés pour s’assurer de leur stabilité, de leur actualité et de leur efficacité. La mise en œuvre de ce domaine comprend: (i) la prise d’inventaire de « tous les actifs technologiques qui soutiennent l’entreprise »; (ii) l’évaluation continue de l’actualité des actifs logiciels et matériels de l’IFF; et iii) la mise en place de mesures pour la gestion efficace des incidents technologiques.
3. Cybersécurité : Les IFF devraient adopter des procédures qui garantissent que leurs données demeurent confidentielles, intactes et disponibles. Les politiques de l’IFF devraient cerner les faiblesses en matière de cybersécurité et prendre des dispositions pour mettre en place des contrôles préventifs et des mesures continues de détection de la sécurité. La mise en œuvre de ce domaine comprend : (i) des évaluations et des essais de la menace et de la vulnérabilité axés sur le renseignement; ii) la cartographie des données, la classification et les contrôles de prévention des pertes (y compris les contrôles et les processus d’accès physique); iii) la modélisation des menaces, l’isolement et la remédiation; et iv) au besoin, des enquêtes médico-légales et des analyses des causes profondes.
4. Technologie des fournisseurs tiers et cyberrisques : Les IFF devraient mettre en œuvre des processus qui identifient et atténuent les risques associés aux fournisseurs tiers. La mise en œuvre de ce domaine comprend : (i) la conclusion d’une entente officielle entre une IFF et ses tiers fournisseurs qui définissent clairement les responsabilités respectives des parties en matière de technologie et de cyber-contrôles; et (ii) la mise en place de contrôles pour s’assurer que les fournisseurs tiers se conforment aux normes technologiques et cybernétiques de l’IFF, y compris l’élaboration d’exigences propres à l’infonuagique.
5. Résilience technologique : Les IFF devraient concevoir des cadres de reprise après sinistre à l’échelle de l’entreprise, qui leur enseignent la récupération et la prestation de services technologiques en cas de perturbation. La mise en œuvre de ce domaine comprend la vérification et la gestion des dépendances clés et le test de scénarios de récupération d’urgence spécifiques.

Bien que le projet de ligne directrice fournisse des consignes concernant les attentes du BSIF en matière de gestion de la technologie et des cyberrisques, une IFF devrait mettre en œuvre des systèmes, des politiques et des pratiques pour répondre à ces attentes d’une manière compatible avec « sa taille, la nature, la portée et la complexité de ses activités; et [son] profil de risque. Les IFF devraient également examiner le projet de ligne directrice en même temps que d’autres documents du BSIF, en particulier celles relatives à la gestion des risques et à la cybersécurité, ainsi que les directives d’autorités supplémentaires, le cas échéant.

Le groupe Privacy and Data Protection se ferai un plaisir de vous aider à répondre à toute question sur la mise en œuvre de l’ébauche des lignes directrices, y compris d’aider votre organisation à participer au processus de consultation du BSIF.