Déclaration des incidents liés à la technologie et à la cybersécurité : Nouvelles consignes du BSIF

Le Bureau du surintendant des institutions financières (BSIF) vient de publier une lettre d'advisory letter for federally regulated financial institutions (FRFI). L'avis énonce les attentes du BSIF en matière de déclaration des incidents de cybersécurité des IFF, donne des exemples d'incidents qui devraient être signalés au BSIF et énonce les exigences en matière de déclaration. Il entrera en vigueur le 31 mars 2019.

Qu'est-ce qu'un incident technologique ou de cybersécurité?

Aux fins de l'avis, un incident de technologie ou de cybersécurité est défini comme « ayant le potentiel d'avoir une incidence importante sur les activités normales d'une IFF, y compris la confidentialité, l'intégrité ou la disponibilité de ses systèmes et de ses renseignements, ou ayant été évalué de façon importante ».

Quand un incident technologique ou de cybersécurité doit-il être signalé au BSIF?

Les caractéristiques suivantes peuvent rendre un incident à signaler :

• Une incidence opérationnelle importante sur les systèmes d'information ou les données clés ou essentiels;
• l'incidence importante sur les données opérationnelles ou des données des clients de l'IFF, y compris la confidentialité, l'intégrité ou la disponibilité de ces données;
• Impact opérationnel important sur les utilisateurs internes qui est important pour les clients ou les opérations commerciales;
• Des niveaux importants d'interruptions du système ou des services;
• Perturbations prolongées des systèmes et des opérations opérationnels essentiels;
• Le nombre de clients externes touchés est important ou en croissance;
• Une incidence négative sur la réputation est imminente (p. ex., divulgation publique ou médiatique);
• Incidence importante sur les échéances et les obligations essentielles dans les systèmes de règlement ou de paiement des marchés financiers (p. ex., l'infrastructure des marchés financiers);
• Une incidence importante sur un tiers considéré comme important pour l'IFF;
• des conséquences importantes pour d'autres IFF ou pour le système financier canadien;
• Un incident d'IFF a été signalé au Commissariat à la protection de la vie privée ou aux organismes de réglementation locaux ou étrangers.

Voici quelques exemples d'incidents à signaler :

• Botnet de prise de contrôle de compte ciblant les services en ligne à l'aide de nouvelles techniques; les moyens de défense actuels ne parviennent pas à empêcher la compromission du compte client;
• Défaillance technologique au centre de données;
• Un tiers important est violé; ou
• L'IFF a reçu un message d'extorsion menaçant de perpétrer une cyberattaque.

Comment, quoi et quand une IFF doit-elle faire rapport?

L'IFF doit aviser son superviseur principal et son Ruth Promislow.