Introduction et portée

Le Bureau du surintendant des institutions financières (BSIF) a récemment publié une mise à jour du préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité et de nouvelles exigences pour l’Autoévaluation en matière de cybersécurité (questionnaire d’autoévaluation). Ces deux documents d’orientation révisés prennent effet immédiatement. Les mises à jour ont pour but d’exposer clairement les attentes du BSIF à l’égard des institutions financières fédérales (IFF) appelées à évaluer leur position en matière de cybersécurité et à signaler des incidents.

Pour consulter la première partie de la mise à jour sur les changements apportés au préavis, veuillez cliquer ici. La deuxième partie de la mise à jour se penche sur l’outil d’autoévaluation du BSIF, dont la dernière révision remonte à 2013. De façon plus particulière, le BSIF a peaufiné son questionnaire d’autoévaluation pour mieux refléter le contexte actuel des cyberrisques associés à la numérisation des services financiers.

Principaux changements à retenir

  • Mises à jour des documents d’orientation : Le BSIF a annoncé que la version révisée du questionnaire d’autoévaluation sera utilisée en sus des consignes en cours d’élaboration sur de saines pratiques de gestion du risque lié aux technologies et des cyberrisques. En outre, des mises à jour périodiques sont prévues pour prendre en compte le contexte courant des cyberrisques. 
  • Échelle de notation du cyberrisque : La version révisée du questionnaire d’autoévaluation comporte une nouvelle échelle de notation du cyberrisque qui prévoit six niveaux, allant de 0 à 5, afin de permettre aux IFF de mieux mettre en évidence différents aspects de leur position en matière de cybersécurité. Le BSIF a fourni des précisions sur ce qu’englobe chacun des niveaux, qui se résument comme suit:
    • Niveau 0 – Contrôles inexistants : À ce niveau, aucun contrôle n’a été mis en œuvre.
    • Niveau 1 – Phase initiale : Les contrôles sont généralement non documentés et en état de changement dynamique. Ils ont tendance à être mis en œuvre de façon ponctuelle et réactive en fonction de certains événements. Les systèmes de sécurité en place fonctionnent, mais comportent des lacunes ou peuvent être inégalement appliqués. 
    • Niveau 2 – Contrôles répétables : Les contrôles sont mis en œuvre de manière répétable dans différents systèmes, ce qui donne habituellement lieu à des résultats plus uniformes. Cependant, le fonctionnement des contrôles pourrait ne pas être suffisamment compris et la documentation appropriée expliquant les contrôles mis en œuvre pourrait ne pas être facilement accessible.
    • Niveau 3 – Contrôles définis : Les contrôles sont bien définis et compris grâce à la documentation pertinente s’y rapportant. Il y a toujours place à l’amélioration puisque les contrôles font l’objet d’un examen et d’une gestion plus proactive. Le BSIF considère ce niveau comme une étape de développement.
    • Niveau 4 – Gestion quantitative : Les contrôles prévoient des objectifs quantitatifs établis par l’organisation en vue de contrôler l’efficacité et le rendement. À l’aide de paramètres analytiques, l’IFF est en mesure de définir les schémas de fonctionnement normal et de prévoir le rendement des contrôles. Ce niveau dénote une compréhension plus approfondie et plus complète des contrôles de cybersécurité mis en œuvre.
    • Niveau 5 – Amélioration continue : À l’aide de technologies progressives et novatrices, l’IFF mise sur l’amélioration continue des contrôles de sécurité pour répondre aux besoins opérationnels changeants et aux préoccupations. À ce niveau, l’IFF peut réagir rapidement aux changements et c’est également à ce stade que la cybersécurité et la gestion du risque font partie de la culture de l’organisation.

Le BSIF précise que les niveaux de notation du risque visent à aider l’IFF à évaluer la maturité de ses contrôles de sécurité. Pour chaque élément, un énoncé de contrôle porte sur une pratique exemplaire, un processus, une responsabilité ou d’autres mesures de protection qui serviront de balises à l’IFF pour évaluer ses propres processus internes.   

  • Orientation et catégories : Le modèle de questionnaire d’autoévaluation a fait l’objet de plusieurs changements. L’un des principaux changements a trait aux différentes orientations et catégories comprises dans le questionnaire d’autoévaluation. La version révisée contient huit orientations, réparties en 20 catégories, comme suit :
    • Gouvernance: planification et stratégie; politiques; gestion du risque
    • Identification : environnement opérationnel; gestion de l’actif; évaluation du risque
    • Défense : gestion de l’identité et contrôle de l’accès; sécurité du réseau; sécurité des données; gestion des vulnérabilités; gestion du changement et de la configuration
    • Détection : suivi et consignation; analyse comparative, examens et évaluations; mise au point de logiciels sécurisés
    • Réponse : gestion des incidents
    • Rétablissement : mise à l’essai et planification
    • Apprentissage : amélioration continue; éducation en matière de sécurité
    • Fournisseurs tiers de technologies : gouvernance et gestion; fournisseurs de services infonuagiques
  • Justification des cotes et notes : Même s’il peut y avoir recoupement de certaines catégories et de certains contrôles, le BSIF précise que les cotes devraient être attribuées à chaque contrôle, un à la fois plutôt que collectivement.
  • Références fournies : Le questionnaire d’autoévaluation incite désormais les IFF à fournir des références de soutien en sus de la justification des cotes de cyberrisque. Par conséquent, les IFF doivent pouvoir justifier leurs cotes à l’aide de documentation à l’appui.
  • Élimination du plan d’action et de la ou des dates butoirs : La version antérieure du questionnaire d’autoévaluation incitait les IFF à dresser un plan d’action et à fixer une ou des dates butoirs aux fins de son exécution intégrale, mais cette catégorie a depuis été éliminée dans la version révisée et remplacée par des références de soutien. 

Points à retenir – pourquoi remplir le questionnaire d’autoévaluation?

Avec l’accélération des initiatives de numérisation et de transformation numérique des IFF, la fréquence, la complexité et la gravité des cybermenaces se sont accrues, entraînant du coup un risque d’attaque plus élevé. Le BSIF a pour objectif de voir, notamment à l’aide du questionnaire d’autoévaluation, à ce que les IFF cernent bien leur position en matière de cybersécurité et mettent en œuvre toutes les exigences ou mesures correctives nécessaires pour obtenir (et maintenir) la cote la plus élevée possible. 

Même s’il n’est pas obligatoire de remplir le questionnaire d’autoévaluation, les IFF sont encouragées à le faire pour mieux comprendre leur niveau de préparation face aux cyberrisques. Les IFF pourront alors élaborer et maintenir leurs propres pratiques en matière de cybersécurité et être prêtes en cas de cyberattaque. Cela dit, les organisations devraient se montrer prêtes à communiquer leur autoévaluation au BSIF et être en mesure de justifier clairement leur attribution d’une cote particulière pour une catégorie donnée. 

De plus, le BSIF a annoncé que des consignes en cours d’élaboration serviront de complément au questionnaire d’autoévaluation et feront l’objet de mises à jour périodiques. Les IFF ont intérêt à surveiller les prochaines annonces du BSIF pour s’assurer de la pertinence continue de leurs mesures de cybersécurité.

Les auteurs désirent remercier Marisa Kwan, stagiaire, pour son aide dans la préparation de cette actualité juridique. 



Personnes-ressources

Chef canadien, Technologies et cochef canadien, Cybersécurité et confidentialité des données, Canada
Avocate senior
Avocate
Cochef canadien, Cybersécurité et confidentialité des données, Canada

Publications récentes

Abonnez-vous et restez à l’affût des nouvelles juridiques, informations et événements les plus récents...