Le Bureau du surintendant des institutions financières (BSIF) a annoncé la tenue d'une consultation sur son projet de ligne directrice B‑13 intitulé Gestion du risque lié aux technologies et du cyberrisque. Lorsqu'elle sera finalisée, la ligne directrice B-13 s'ajoutera aux lignes directrices et outils actuels du BSIF liés à la cybersécurité, qui comprennent les lignes directrices E‑21 (Gestion du risque opérationnel), B‑10 (Impartition d'activités, de fonctions et de méthodes commerciales), le préavis Signalement des incidents liés à la technologie et à la cybersécurité, et l'outil d'Autoévaluation en matière de cybersécurité.

Le processus de consultation du BSIF n'est qu'une des nombreuses initiatives récentes concernant la réglementation du cyberrisque dans le secteur financier en Amérique du Nord. Nous vous proposons une brève revue de ces avancées.

Le projet de directive B-13 du BSIF

Le projet de directive B-13 s'appuie sur les commentaires transmis au BSIF en réponse à la publication en 2020 de son document de travail sur le risque lié aux technologies et les risques connexes. Les commentaires ont notamment fait ressortir la nécessité d'une « approche fondée sur des principes et technologiquement neutre » pour gérer ce risque, et des opinions divergentes quant à l'adéquation des outils existants du BSIF et la légitimité même du BSIF d'encadrer les risques liés aux données.

Le projet de ligne directrice s'applique à toutes les institutions financières fédérales (les IFF). Si les consignes et les outils précédents du BSIF mettaient l'accent sur l'autoévaluation et le signalement obligatoire des incidents, le projet B-13 décrit avec soin les nouvelles attentes à l'égard des IFF en ce qui concerne cinq « domaines » de gestion du cyberrisque :

  • Gouvernance et la gestion du risque
  • Activités technologiques
  • Cybersécurité
  • Risque lié aux technologies et cyberrisque des fournisseurs tiers
  • Résilience technologique

La ligne directrice couvre de nombreux sous-thèmes avec un degré de détail qui n'entre pas dans le cadre d'un bref résumé. Les IFF devront les étudier attentivement. Dans l'ensemble, les consignes sont conformes aux principes et pratiques bien établis en matière de gestion des cyberrisques et de réponse aux incidents, qui s'appliquent aux services financiers comme à tous les autres secteurs d'activité.

Il faut retenir que le projet de directive B-13 tient la haute direction de l'IFF responsable de la préparation de l'institution au cyberrisque et prévoit qu'elle doit « attribuer clairement aux cadres supérieurs la responsabilité de la gouvernance du risque lié aux technologies et du cyberrisque », en définissant précisément leurs responsabilités et en exigeant que leurs postes aient « une stature importante et une visibilité notable dans l'ensemble de l'institution ». Les membres de la haute direction doivent comprendre « des personnes ayant une compréhension suffisante du risque lié aux technologies et du cyberrisque ». En outre, la haute direction doit s'assurer que la structure organisationnelle l'IFF fournit « des ressources humaines et financières adéquates et une expertise et une formation appropriées dans le domaine » pour faire face au cyberrisque. Les institutions de petite taille ne font pas exception. Ainsi, les IFF qui se considèrent comme trop petites pour justifier de tels changements structurels formels et l'allocation de ressources devraient réévaluer leurs mesures actuelles.

La jurisprudence relative aux atteintes à la protection des données est encore embryonnaire au Canada. Les IFF doivent se préparer à la probabilité que les tribunaux et les organismes de réglementation en matière de protection de la vie privée qui évaluent l'état de préparation et la réponse d'une institution à une atteinte à la protection des données s'appuient sur le projet de directive B-13 dans sa forme finale pour fournir un critère permettant de mesurer le caractère raisonnable de la conduite de l'institution et la norme de diligence à respecter.

La consultation se termine le 9 février 2022. Les parties prenantes souhaitant commenter le projet peuvent le faire par courriel à l'adresse suivante : Tech.Cyber@osfi-bsif.gc.ca.

Retour du projet de loi C-11?

Depuis la réélection des libéraux fédéraux en septembre dernier, de nombreux commentateurs s'attendent à voir revenir, sous une forme ou une autre, le projet de loi C-11, la mise à jour proposée des lois fédérales sur la protection de la vie privée. Si l'on se fie au dernier dépôt, le projet de loi C-11 aurait considérablement modifié la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE), la loi fédérale sur la protection de la vie privée qui régit la collecte et l'utilisation commerciale de renseignements personnels identifiables (notamment) par les entreprises sous réglementation fédérale, y compris les banques. S'il est adopté sous une forme semblable à la version précédente, qui est morte au feuilleton lors du déclenchement des élections, le projet de loi rapprocherait le Canada des lois européennes plus strictes (à certains égards) en matière de protection des données, accorderait au commissaire à la protection de la vie privée le pouvoir d'émettre des ordonnances (il n'en a aucun actuellement) et imposerait des sanctions financières plus salées en cas de non-conformité. Les banques canadiennes doivent s'attendre à voir la réémergence de ce projet de loi l'an prochain. Il aura pour effet de sanctionner plus lourdement les organisations qui ne protègent pas suffisamment leurs clients et sont victimes de cyberattaques.

Nouvelles règles pour les institutions financières américaines

Les organismes de réglementation des services financiers américains ont eux aussi connu des semaines chargées. La U.S. Federal Trade Commission (la FTC) a publié la règle finale (en anglais seulement) modifiant ses mesures de sécurité pour la protection des renseignements personnels intitulée Safeguards for Safeguarding Customer Information fin octobre. La règle exige que les IFF non bancaires (y compris les courtiers en prêts hypothécaires et les prêteurs sur salaire) [TRADUCTION] « élaborent, mettent en œuvre et maintiennent un système de sécurité complet pour assurer la sécurité des renseignements de leurs clients. » Ces institutions devront :

  • Respecter des critères plus détaillés concernant les mesures de protection des données, comme d'en limiter l'accès et d'avoir recours au chiffrement pour les protéger;
  • Fournir de l'information plus détaillée concernant les mesures de protection appliquées lorsqu'ils [TRADUCTION] « consultent, recueillent, distribuent, protègent, stockent, utilisent, transmettent, éliminent ou traitent autrement les renseignements sécurisés des clients »;
  • Désigner une personne par institution pour superviser le programme de sécurité des données et rendre compte au conseil d'administration ou à un cadre supérieur désigné.

La FTC a également demandé au public de commenter l'exigence pour les institutions de signaler tout [TRADUCTION] « incident de sécurité » compromettant les données d'au moins 1 000 clients [TRADUCTION] « ou les compromettant selon toutes probabilités. »

Entre-temps, de nouvelles règles sont déjà en place pour les banques américaines. Le 17 novembre, l'Office of the Comptroller of the Currency, le Trésor des États-Unis, le US Board of Governors de la Réserve fédérale américaine et la Federal Deposit Insurance Corporation ont publié la règle finale (en anglais seulement) imposant à ces banques de nouvelles exigences en matière de signalement des atteintes à la protection des données. La règle prévoit que :

  • La banque doit informer son [TRADUCTION] « principal organisme de réglementation fédéral » de tout [TRADUCTION] « incident de sécurité informatique » qui constitue une [TRADUCTION] « notification de signalement » au plus tard 36 heures après que la banque a déterminé que l'incident a eu lieu;
  • Les fournisseurs tiers de services à une banque doivent la notifier lorsqu'un [TRADUCTION] « incident de sécurité informatique » a [TRADUCTION] « perturbé ou dégradé de manière significative (ou est raisonnablement susceptible de perturber ou de dégrader de manière significative) les services fournis à la banque pendant quatre heures ou plus. »

Conclusion

Pendant que de grandes organisations et des infrastructures névralgiques subissent l'assaut incessant de cyberattaques réussies ou avortées, les institutions financières doivent s'attendre à des directives de plus en plus strictes et normatives de la part des organismes de réglementation qui les régissent. Les organismes de réglementation de différents pays semblent se rapprocher d'un consensus sur ce que doit être une posture solide en matière de cybersécurité pour les institutions financières. Il sera intéressant de voir si les organismes de réglementation canadiens voudront suivre ou mener la danse.