Le 24 janvier 2019, le Bureau du surintendant des institutions financières du Canada (BSIF) a publié le préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité, qui prendra effet le 31 mars 2019. Il donne des instructions aux Institutions financières fédérales au Canada (IFFC) quant au signalement rapide au BSIF des incidents liés à la technologie et à la cybersécurité.

Contexte

Le préavis repose sur les Conseils sur l'auto-évaluation en matière de cybersécurité publiés en 2013, dans lesquels le BSIF faisait part de ses attentes en ce qui concerne la gestion des cyberrisques. L'objectif général de l'obligation de signalement est d'aider le BSIF à repérer les points que les IFFC pourraient améliorer pour prévenir de tels incidents de façon proactive ou augmenter leur résilience dans les cas où un incident s'est produit.

Incidents liés à la technologie et à la cybersécurité soumis à l'obligation de signalement

Le préavis du BSIF concerne les incidents liés à la technologie et à la cybersécurité qui ont une incidence sur les IFFC. Selon le préavis :

  • un incident lié à la technologie et à la cybersécurité s'entend d'un incident qui pourrait avoir des « conséquences importantes sur les activités habituelles d'une IFFC, y compris sur les plans de la confidentialité, de l'intégrité ou de la disponibilité de ses systèmes ou de ses renseignements »;
  • Les IFFC sont tenues de déclarer au BSIF les incidents liés à la technologie ou à la cybersécurité dont elles estiment que le « niveau de gravité est élevé ou critique ».

Instructions sur les incidents à signaler

Il incombe aux IFFC d'établir si le niveau d'importance relative des incidents liés à la technologie ou à la cybersécurité justifie leur signalement au BSIF. Selon le préavis, les IFFC sont tenues d'évaluer si le niveau de l'incident est élevé ou critique à la lumière de leur cadre de gestion des incidents mis au point selon les Conseils sur l'auto-évaluation en matière de cybersécurité du BSIF.

À cet égard, le préavis donne des instructions aux IFFC sous la forme d'une liste de caractéristiques non exhaustives applicable aux incidents à signaler :

  • Répercussions opérationnelles importantes sur les systèmes d'information ou les données critiques;
  • Répercussions importantes sur les données opérationnelles ou sur les données des clients de l'IFFC, y compris sur les plans de la confidentialité, de l'intégrité ou de la disponibilité de ces données;
  • Répercussions opérationnelles importantes pour les utilisateurs à l'interne, lesquelles entraînent à leur tour des conséquences importantes pour les clients ou sur les activités opérationnelles;
  • Niveaux importants de perturbation des systèmes et des services;
  • Perturbations prolongées des systèmes et activités essentiels;
  • Nombre important ou croissant de clients externes touchés;
  • Répercussions négatives imminentes sur la réputation (p. ex., divulgation publique/médiatique);
  • Répercussions importantes sur les échéances/obligations cruciales rattachées aux systèmes de règlement ou de paiement des marchés financiers (p. ex., infrastructure des marchés financiers);
  • Répercussions importantes sur un tiers essentiel pour l'IFFC;
  • Conséquences importantes pour les autres IFFC ou pour le système financier canadien;
  • Un incident concernant une IFFC a été signalé au Commissariat à la protection de la vie privée du Canada ou aux organismes de réglementation canadiens/étrangers.

Afin d'aider davantage les IFFC dans leur évaluation de l'importance relative, le préavis donne des exemples d'incidents à signaler :

  • Attaque robotisée de prise de contrôle des comptes ciblant les services en ligne à l'aide de nouvelles techniques; les moyens de défense actuels n'empêchent pas la compromission des comptes clients;
  • Défaillance technologique au centre de données;
  • Les données ou systèmes utilisés par un tiers important ont été compromis; l'IFFC est avisée que le tiers fait enquête;
  • L'IFFC a reçu un message d'extorsion qui laisse entendre qu'une cyberattaque sera commise.

Obligation de signalement

Une IFFC est tenue d'aviser son chargé de surveillance le plus rapidement possible,1 mais au plus tard 72 heures après avoir déterminé qu'un incident lié à la technologie ou à la cybersécurité s'est produit et que son niveau est élevé ou critique. Le préavis établit une liste d'informations qui doivent être communiquées dans le signalement initial, y compris une description qui traite principalement du type, de l'origine et de la cause première, de la date et de l'heure, du niveau de criticité, des répercussions directes et indirectes connues, du nombre de clients touchés, de l'état actuel de la situation et des mesures d'atténuation prises ou prévues relativement à l'incident.

Le BSIF s'attend à ce que les IFFC fassent périodiquement le point (par ex. quotidiennement) à mesure que de nouveaux renseignements deviennent disponibles, et ce, jusqu'à ce que tous les renseignements importants au sujet de l'incident aient été fournis. Si des renseignements importants ne sont pas encore disponibles, l'IFFC doit déclarer que les renseignements ne sont pas encore disponibles. Finalement, l'IFFC doit rendre compte au BSIF de son analyse post-incident et des leçons apprises.

Répercussions

Les incidents liés à la cybersécurité et à la technologie ont des conséquences de grande portée pour les IFFC parce qu'ils peuvent causer des préjudices financiers, des préjudices opérationnels et des atteintes à la réputation graves. Du point de vue juridique, ces incidents peuvent également avoir d'importantes répercussions puisqu'ils peuvent déclencher des obligations de signalement aux autorités de réglementation. En effet, avec l'entrée en vigueur du préavis sur le signalement des incidents liés à la technologie et à la cybersécurité, les IFFC deviendront assujetties aux nouvelles obligations de déclaration qui s'ajoutent à la déclaration obligatoire des atteintes aux mesures de sécurité du commissaire à la protection de la vie privée du Canada, ainsi qu'aux obligations de communication d'information de la réglementation sur les valeurs mobilières.2 Comme le champ d'application des régimes réglementaires varie, les IFFC seraient bien inspirés d'envisager d'intégrer le signalement des incidents liés à la cybersécurité et à la technologie à leur contrôle et leur gestion du cyberrisque.

Footnotes

[1] La déclaration doit également être envoyée à l'adresse TRD@osfi-bsif.gc.ca.

[2] Voir l'Avis multilatéral 51-347 du personnel des ACVM Information sur les risques et les incidents liés à la cybersécurité du 19 janvier 2017 et l'Avis 11-326 du personnel des ACVM, Cybersécurité du 26 septembre 2013.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.