Écrit par Ruth Promislow and Matthew Macdonald

Les renseignements les plus récents de l’ASC sur la cybersécurité sont énoncés dans le summary de sa table ronde (publié le 7 avril 2017) pour explorer la réponse aux incidents de cybersécurité.

Le résumé de la table ronde a mis en évidence ce qui suit :

• L’importance de la coopération et de l’échange d’information en réponse aux incidents de cybersécurité;
• la nécessité d’un plan d’intervention en cas d’incident (PRI) solide pour les entités, y compris celles qui sont indirectement touchées par un cyberincident;
  • Les PIR devraient être détaillés afin de se préparer à un cyberincident.  Ils devraient traiter des procédures internes et décrire la façon d’échanger de l’information clé et de communiquer avec d’autres intervenants.  La communication avec les autres est particulièrement importante en cas d’incident de sécurité à l’échelle du marché affectant les concessionnaires, les agences et les autres participants au marché.
• Le recours à des voies de communication plus officielles pour l’échange d’information peut contribuer à améliorer l’intervention et le rétablissement;
• La nécessité de tester et de mettre à jour les RIP, y compris les protocoles de communication et de coordination; et
• Les ressources publiques et privées mises à la disposition des organisations qui peuvent faire l’objet d’un incident de cybersécurité.

Le résumé a encore renforcé les attentes des entités réglementées dans ce secteur :

Comme l’indique l’Avis 11-332 du personnel des ACVM sur la cybersécurité, les membres des ACVM s’attendent à ce que les entités réglementées examinent et examinent leur conformité aux exigences continues énoncées dans les lois sur les valeurs mobilières et les modalités de reconnaissance, d’inscription ou d’exemption, qui comprennent la nécessité d’avoir des contrôles internes sur leurs systèmes et de signaler les atteintes à la sécurité. Les membres de l’ASC s’attendent également à ce que les inscrits continuent de demeurer vigilants dans l’élaboration, la mise en œuvre et la mise à jour de leur approche en matière d’hygiène et de gestion de la cybersécurité.

Il est raisonnable de s’attendre à ce que l’examen accru des questions de cybersécurité par les ACVM entraîne l’établissement d’une norme de l’industrie en matière d’hygiène et de gestion de la cybersécurité. Cette norme de l’industrie éclairera probablement la façon dont les organisations sont évaluées pour leur responsabilité envers les clients, les employés, les investisseurs sur le marché et les autres personnes touchées par un incident de cybersécurité.

Pour plus d’informations sur la façon de se conformer aux exigences en évolution dans ce domaine, l’équipe de cybersécurité Bennett Jones Cybersecurity peut vous aider.