Écrit par Jordan Fremont, Ruth Promislow and Michael Whitt

Le 13 août 2021, le BSIF, le Bureau fédéral du surintendant des institutions financières, a publié de nouvelles consignes sur Technology and Cyber Security Incident Reporting, remplaçant les prévisions antérieures de mars 2019.

Les nouvelles lignes directrices intensifient et clarifient les exigences en matière de déclaration par les institutions financières fédérales (IFF) en cas d’incidents liés à la technologie ou à la cybersécurité qui ont une incidence sur leurs activités. Les institutions financières sous réglementation fédérale comprennent, par exemple, les banques, les sociétés de fiducie et de prêt constituées en société ou agréées par le gouvernement fédéral, les sociétés d’assurance et les régimes de retraite assujettis à la surveillance fédérale. Autrement, il ne comprend pas de consignes sur les attentes du BSIF en matière de gestion des interventions en cas d’incident. Simultanément, le BSIF a publié une note d’autoévaluation à l’intention des IFF qui traite de la préparation, mettant à jour les consignes antérieures de 2013.

Aux fins de la ligne directrice, l’expression « incident technologique ou de cybersécurité » est définie comme un incident qui a une incidence ou qui pourrait avoir une incidence sur les activités d’une IFF, y compris sa confidentialité, son intégrité ou la disponibilité de ses systèmes et de ses renseignements.

« Un incident à signaler peut présenter une ou plusieurs des caractéristiques suivantes :

• L’impact a des conséquences potentielles pour d’autres IFF ou le système financier canadien;
• l’incidence sur les systèmes d’IFF qui ont une incidence sur le règlement, les confirmations ou les paiements sur les marchés financiers (p. ex., l’infrastructure des marchés financiers) ou l’incidence sur les services de paiement;
• l’incidence sur les opérations, l’infrastructure, les données et/ou les systèmes de l’IFF, y compris, mais sans s’y limiter, la confidentialité, l’intégrité ou la disponibilité des renseignements sur les clients;
• Les perturbations des systèmes et/ou des opérations de l’entreprise, y compris, mais sans s’y limiter, les pannes de services publics ou de centres de données ou la perte ou la dégradation de la connectivité;
• l’incidence opérationnelle sur les systèmes, l’infrastructure ou les données clés ou essentiels;
• Des équipes ou des plans de reprise après sinistre ont été activés ou une déclaration de sinistre a été faite par un fournisseur tiers qui a une incidence sur l’IFF;
• Impact opérationnel sur les utilisateurs internes, et cela a un impact sur les clients externes ou les opérations commerciales;
• Le nombre de clients externes touchés augmente; une incidence négative sur la réputation est imminente (p. ex., divulgation publique et/ou médiatique);
• l’incidence sur un tiers touchant l’IFF;
• L’équipe ou les protocoles de gestion de la technologie ou des cyberincidents d’une IFF ont été activés;
• Un incident qui a été signalé au conseil d’administration ou à la haute direction;
• Un incident à l’IFF a été signalé à :
  • le Commissariat à la protection de la vie privée;
  • un autre ministère du gouvernement fédéral (p. ex., le Centre canadien pour la cybersécurité);
  • d’autres organismes ou organismes de surveillance ou de réglementation locaux ou étrangers;
  • tout organisme d’application de la loi;
  • a fait office d’un avocat interne ou externe
• un incident d’IFF pour lequel une réclamation de cyberassurance a été introduite;
• Un incident évalué par une IFF comme étant d’une gravité élevée ou critique, d’un niveau ou d’une priorité/gravité/niveau 1 ou 2 élevé ou critique en fonction de l’évaluation interne de l’IFF; ou
• Incidents liés à la technologie ou à la cybersécurité qui enfreignent la propension ou les seuils internes pour le risque.
• Pour les incidents qui ne correspondent pas aux critères précis énumérés ci-dessus ou qui ne les contiennent pas, ou lorsqu’une IFF est incertaine, l’avis au BSIF est encouragé par mesure de précaution.

Une liste d’exemples à signaler est également fournie dans les lignes directrices.

L’avis initial doit être fait par écrit (par voie électronique à la Division du risque technologique du BSIF ainsi qu’au superviseur principal de l’IFF au BSIF dans les 24 heures, ou plus tôt si possible)). Le BSIF fournit des modèles de formulaires d’avis et de déclaration des faits ainsi que les consignes.

Le BSIF s’attend à ce que l’IFF touchée demeure régulièrement à jour jusqu’à ce que tous les détails sur l’incident aient été fournis, y compris les rapports sur les mesures correctives et les plans, les analyses après l’incident et les leçons apprises.

Le défaut de faire rapport entièrement ou en temps opportun peut entraîner une surveillance accrue, y compris, mais sans s’y limiter, des activités de surveillance améliorées, la liste de surveillance ou l’organisation de l’IFF.

Bien que les normes du BSIF exigent la conformité des institutions financières fédérales, elles fournissent également un indicateur des normes de sécurité raisonnables d’autres secteurs. Dans un certain sens, le relèvement de la barre en ce qui concerne la cybersécurité dans divers contextes réglementaires industriels tend également à relever la barre pour les industries non réglementées et adjacentes en ce sens que les attentes de ce qui est une réponse raisonnable à un incident de sécurité des données peuvent être élevées. Le document d’orientation est obligatoire pour les IFF, mais peut aussi être instructif pour d’autres industries. 

Un membre du groupe de cybersécurité Bennett Jones Cybersecurity group ou l’un des auteurs se ferai un plaisir de vous aider avec toute question ou préoccupation.