[co-author: Amy Wong – Articling Student]
Le 9 novembre 2021, le Bureau du surintendant des institutions financières (BSIF) a lancé une consultation publique de trois mois sur le projet de ligne directrice B-13 : Technologie et gestion des risques cybernétiques.
Le projet de ligne directrice énonce les attentes du BSIF en matière de « gestion des risques liés à la technologie et aux cyber-risques » applicables aux institutions financières sous réglementation fédérale (IFF), comme les banques, les sociétés de fiducie et de prêt constituées ou enregistrées sous le régime fédéral, les sociétés d’assurance et les régimes de retraite assujettis à la surveillance fédérale. En particulier, le projet de ligne directrice décrit diverses attentes concernant l’élaboration de cadres et de politiques de gestion solides par les IFF pour identifier, réagir et se remettre des risques technologiques et cybernétiques.
Le projet de ligne directrice énonce cinq « domaines » détaillant la portée des attentes de l’OFSI. Vous trouverez ci-dessous un résumé de haut niveau des points clés :
- Gouvernance et gestion des risques : La haute direction des IFF devrait établir « une structure organisationnelle appropriée[s]”, qui attribuent des responsabilités claires aux officiers supérieurs et allouent un personnel, des ressources, une expertise en la matière et une formation adéquats. La mise en œuvre de ce domaine comprend l’établissement d’un cadre de gestion des technologies et des cyber-risques qui comprend « des politiques, des normes et des processus régissant tous les domaines de la technologie et des cyber-risques, qui sont approuvés, régulièrement examinés et mis en œuvre de manière cohérente à l’échelle de l’entreprise ».
- Opérations technologiques : Les IFF devraient maintenir des environnements technologiques « stables, évolutifs et résilients ». Le cadre d’architecture d’une IFF devrait faciliter une architecture informatique à l’échelle de l’entreprise qui appuie ses objectifs commerciaux et ses exigences de sécurité. Les actifs et les systèmes technologiques doivent être surveillés pour garantir leur stabilité, leur actualité et leur efficacité. La mise en œuvre de ce domaine comprend : (i) l’inventaire de « tous les actifs technologiques qui soutiennent l’entreprise » ; (ii) l’évaluation continue de l’actualité des actifs logiciels et matériels de l’IFF ; et (iii) la mise en place de mesures pour une gestion efficace des incidents technologiques.
- La cyber-sécurité: Les IFF devraient adopter des procédures garantissant que leurs données restent confidentielles, intactes et disponibles. Les politiques d’une IFF devraient identifier les faiblesses en matière de cybersécurité, ainsi que prévoir des contrôles préventifs et des mesures de détection de sécurité continues. La mise en œuvre de ce domaine comprend : (i) des évaluations et des tests de menace/vulnérabilité basés sur le renseignement ; (ii) le mappage des données, la classification et les contrôles de prévention des pertes (y compris les contrôles et processus d’accès physique) ; (iii) la modélisation, l’isolement et la correction des menaces ; et (iv) si nécessaire, des enquêtes médico-légales et des analyses des causes profondes.
- Technologie de fournisseur tiers et cyber-risque : Les IFF devraient mettre en œuvre des processus qui identifient et atténuent les risques associés aux fournisseurs tiers. La mise en œuvre de ce domaine comprend : (i) la conclusion d’un accord formel entre une IFF et ses fournisseurs tiers qui définissent clairement les responsabilités respectives des parties en matière de technologie et de cybercontrôles ; et (ii) mettre en place des contrôles pour s’assurer que les fournisseurs tiers se conforment aux normes technologiques et cybernétiques de l’IFF, y compris l’élaboration d’exigences spécifiques au cloud.
- Résilience technologique : Les IFF devraient concevoir des cadres de reprise après sinistre à l’échelle de l’entreprise, qui leur donnent des instructions sur la reprise et la prestation de services technologiques en cas de perturbation. La mise en œuvre de ce domaine comprend la détermination et la gestion des dépendances clés et le test de scénarios de reprise après sinistre spécifiques.
Bien que l’ébauche de ligne directrice fournisse des indications concernant les attentes du BSIF en matière de technologie et de gestion des cyberrisques, une IFF devrait mettre en œuvre des systèmes, des politiques et des pratiques pour répondre à ces attentes d’une manière conforme à « sa taille; la nature, la portée et la complexité de ses opérations ; et [its] profil de risque. Les IFF devraient également examiner le projet de ligne directrice ainsi que d’autres documents du BSIF, en particulier ceux relatifs à la gestion des risques et à la cybersécurité, ainsi que les directives d’autorités supplémentaires, le cas échéant.
[co-author: Amy Wong – Articling Student]
Le 9 novembre 2021, le Bureau du surintendant des institutions financières (BSIF) a lancé une consultation publique de trois mois sur le projet de ligne directrice B-13 : Technologie et gestion des risques cybernétiques.
Le projet de ligne directrice énonce les attentes du BSIF en matière de « gestion des risques liés à la technologie et aux cyber-risques » applicables aux institutions financières sous réglementation fédérale (IFF), comme les banques, les sociétés de fiducie et de prêt constituées ou enregistrées sous le régime fédéral, les sociétés d’assurance et les régimes de retraite assujettis à la surveillance fédérale. En particulier, le projet de ligne directrice décrit diverses attentes concernant l’élaboration de cadres et de politiques de gestion solides par les IFF pour identifier, réagir et se remettre des risques technologiques et cybernétiques.
Le projet de ligne directrice énonce cinq « domaines » détaillant la portée des attentes de l’OFSI. Vous trouverez ci-dessous un résumé de haut niveau des points clés :
- Gouvernance et gestion des risques : La haute direction des IFF devrait établir « une structure organisationnelle appropriée[s]”, qui attribuent des responsabilités claires aux officiers supérieurs et allouent un personnel, des ressources, une expertise en la matière et une formation adéquats. La mise en œuvre de ce domaine comprend l’établissement d’un cadre de gestion des technologies et des cyber-risques qui comprend « des politiques, des normes et des processus régissant tous les domaines de la technologie et des cyber-risques, qui sont approuvés, régulièrement examinés et mis en œuvre de manière cohérente à l’échelle de l’entreprise ».
- Opérations technologiques : Les IFF devraient maintenir des environnements technologiques « stables, évolutifs et résilients ». Le cadre d’architecture d’une IFF devrait faciliter une architecture informatique à l’échelle de l’entreprise qui appuie ses objectifs commerciaux et ses exigences de sécurité. Les actifs et les systèmes technologiques doivent être surveillés pour garantir leur stabilité, leur actualité et leur efficacité. La mise en œuvre de ce domaine comprend : (i) l’inventaire de « tous les actifs technologiques qui soutiennent l’entreprise » ; (ii) l’évaluation continue de l’actualité des actifs logiciels et matériels de l’IFF ; et (iii) la mise en place de mesures pour une gestion efficace des incidents technologiques.
- La cyber-sécurité: Les IFF devraient adopter des procédures garantissant que leurs données restent confidentielles, intactes et disponibles. Les politiques d’une IFF devraient identifier les faiblesses en matière de cybersécurité, ainsi que prévoir des contrôles préventifs et des mesures de détection de sécurité continues. La mise en œuvre de ce domaine comprend : (i) des évaluations et des tests de menace/vulnérabilité basés sur le renseignement ; (ii) le mappage des données, la classification et les contrôles de prévention des pertes (y compris les contrôles et processus d’accès physique) ; (iii) la modélisation, l’isolement et la correction des menaces ; et (iv) si nécessaire, des enquêtes médico-légales et des analyses des causes profondes.
- Technologie de fournisseur tiers et cyber-risque : Les IFF devraient mettre en œuvre des processus qui identifient et atténuent les risques associés aux fournisseurs tiers. La mise en œuvre de ce domaine comprend : (i) la conclusion d’un accord formel entre une IFF et ses fournisseurs tiers qui définissent clairement les responsabilités respectives des parties en matière de technologie et de cybercontrôles ; et (ii) mettre en place des contrôles pour s’assurer que les fournisseurs tiers se conforment aux normes technologiques et cybernétiques de l’IFF, y compris l’élaboration d’exigences spécifiques au cloud.
- Résilience technologique : Les IFF devraient concevoir des cadres de reprise après sinistre à l’échelle de l’entreprise, qui leur donnent des instructions sur la reprise et la prestation de services technologiques en cas de perturbation. La mise en œuvre de ce domaine comprend la détermination et la gestion des dépendances clés et le test de scénarios de reprise après sinistre spécifiques.
Bien que l’ébauche de ligne directrice fournisse des indications concernant les attentes du BSIF en matière de technologie et de gestion des cyberrisques, une IFF devrait mettre en œuvre des systèmes, des politiques et des pratiques pour répondre à ces attentes d’une manière conforme à « sa taille; la nature, la portée et la complexité de ses opérations ; et [its] profil de risque. Les IFF devraient également examiner le projet de ligne directrice ainsi que d’autres documents du BSIF, en particulier ceux relatifs à la gestion des risques et à la cybersécurité, ainsi que les directives d’autorités supplémentaires, le cas échéant.
— to www.jdsupra.com