Compte rendu des ACVM sur l’examen de l’information fournie sur la cybersécurité

Le 19 janvier 2017, les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié l’Avis multilateral 51-347 du personnel des ACVM, Information sur les risques et les incidents liés à la cybersécurité (l’« Avis 51-347 »), qui présente les résultats du vaste examen qu’elle a réalisé sur les documents déposés par les 240 entreprises constituant l’Indice composé S&P/TSX concernant l’information qu’elles ont fournie sur la cybersécurité. Les ACVM cherchaient notamment à savoir de quelle façon les émetteurs avaient abordé les questions de cybersécurité dans l’information sur les facteurs de risque et à obtenir de l’information sur les cyberincidents qui se seraient produits.

Par ailleurs, en septembre 2016, les ACVM ont publié l’Avis 11‑332 du personnel des ACVM, Cybersécurité (l’« Avis 11‑332 »), qui soulignait l’importance des risques liés à la cybersécurité pour les émetteurs, de même que pour les personnes inscrites et les autres entités réglementées. Dans cet avis de 2016, les ACVM ont indiqué qu’elles examineraient l’information sur le risque lié à la cybersécurité et les cyberattaques. L’Avis 51-347 décrit l’issue de cet examen, qui portait tant sur l’information périodique, comme les notices annuelles et les rapports de gestion, que sur l’information occasionnelle, comme les déclarations de changements importants et les communiqués.

CONCLUSIONS DE L’EXAMEN

L’examen révèle que 61 % des émetteurs ont traité de cybersécurité dans leur information sur les facteurs de risque. De façon générale, les émetteurs ont indiqué que leur dépendance envers les systèmes de technologie de l’information les rendait vulnérables aux atteintes à la cybersécurité. Par contre, peu d’émetteurs ont fourni de l’information sur leur vulnérabilité particulière aux cyberincidents. Certains de ces émetteurs ont cité le secteur au sein duquel ils évoluent, les actifs précis détenus ou leur qualité d’entrepreneurs du gouvernement comme des facteurs augmentant la probabilité d’être la cible de cybersurveillance ou d’une cyberattaque. D’autres émetteurs ont également indiqué que leur dépendance envers des tiers pourrait les exposer à des problèmes de cybersécurité.

De plus, l’Avis 51-347 fournit plusieurs exemples de répercussions que peut entraîner un cyberincident, tels que l’atteinte à la réputation, l’atteinte à la confidentialité des renseignements sur un client, la destruction de données ou la responsabilité en cas de non-respect des lois sur la protection de la vie privée et la sécurité de l’information.

Selon l’examen, 20 % des émetteurs ayant abordé la cybersécurité dans l’information communiquée avaient indiqué la personne, le groupe ou le comité responsable de leur stratégie en matière de cybersécurité. Les émetteurs ont le plus souvent mentionné le comité d’audit comme responsable de la surveillance des risques liés à la cybersécurité, suivi d’un comité de gestion du risque, de l’ensemble du conseil d’administration, du chef des finances et du chef des technologies de l’information.

« Certains » émetteurs ont mentionné qu’un plan de reprise après sinistre avait été mis en place, alors que peu d’émetteurs ont indiqué détenir une assurance contre les cyberincidents.

L’examen révèle que « certains » émetteurs ont signalé dans leur information avoir déjà fait l’objet de cyberattaques, mais qu’aucun émetteur n’a indiqué que ces incidents étaient importants. Un seul émetteur a mentionné avoir publié un communiqué suivant une atteinte à la protection de ses données qui s’est traduite par la divulgation de renseignements confidentiels. Or, il n’a pas déposé de déclaration de changement important en lien avec cet incident.

INDICATIONS DU PERSONNEL

Dans l’Avis 51-347, on rappelle aux émetteurs qu’ils devraient éviter les phrases toutes faites. Les ACVM notent à cet effet que « [si] nous reconnaissons que l’exposition aux risques liés à la cybersécurité est commune à l’ensemble des émetteurs de chacun des secteurs, les émetteurs devraient garder à l’esprit que l’information sur les facteurs de risque vise notamment à permettre aux lecteurs de distinguer un émetteur d’un autre, au sein d’un même secteur ou dans l’ensemble, sur les plans du niveau d’exposition et de préparation et en fonction de l’incidence du risque sur lui ». Dans la mesure où les émetteurs ont établi que le risque lié à la cybersécurité est important, ils devraient fournir de l’information aussi détaillée et propre à leur situation que possible. Cette information devrait comprendre une analyse de la probabilité qu’une atteinte survienne et indiquer l’ampleur prévue de son incidence.

En revanche, les ACVM précisent que « [les émetteurs] n’ont pas à divulguer des détails sur leur stratégie en matière de cybersécurité ou leur vulnérabilité aux cyberattaques qui seraient sensibles ou pourraient compromettre leur cybersécurité ».

À titre d’information complémentaire, l’Avis 51-347 renvoie aux facteurs relatifs à l’information des émetteurs assujettis énoncés au chapitre 2 du rapport sur la cybersécurité sur les marchés des valeurs mobilières (en anglais) publié en avril 2016 par l’Organisation internationale des commissions de valeurs.

En outre, l’Avis 51-347 précise que les émetteurs tenus d’établir et de maintenir des contrôles et des procédures en vertu du Règlement 52-109 sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs devraient appliquer ces contrôles et procédures  aux cyberincidents ciblés pour s’assurer qu’ils soient communiqués à la direction et que la décision de les déclarer et, le cas échéant, quant à l’information à fournir, soit prise rapidement.

Pour ce qui est de la communication des cyberincidents, les ACVM soulignent que les obligations imposant aux émetteurs de déclarer à certaines personnes les atteintes à la cybersécurité, notamment en vertu des lois sur la protection de la vie privée, ou de les en aviser, diffèrent de celles prévues par la législation en valeurs mobilières, qui visent à déterminer si une atteinte constitue un fait ou un changement important. La nature de l’atteinte, par exemple s’il s’agit d’une attaque par déni de service distribué, d’un rançongiciel, d’une atteinte à la cybersécurité visant à obtenir des renseignements sur un client, ou encore de séries d’incidents mineurs fréquents, peut entraîner des répercussions dont l’importance varie.

Comme l’indique l’Avis 51-347, « nous nous attendons à ce que les émetteurs précisent dans tout plan de reprise après une cyberattaque la façon dont l’importance de celle-ci serait évaluée pour établir si de l’information doit être rendue publique à son sujet et, le cas échéant, à quel moment et de quelle façon ».

Pour en savoir davantage, communiquez avec :

Howard Levine                       514-982-4005
Ross McKee                           416-863-3277

ou un autre membre de notre groupe Marché des capitaux.

Blakes offre périodiquement des documents sur les tendances et les faits nouveaux en matière juridique aux personnes qui le désirent. Pour obtenir de plus amples renseignements sur nos pratiques concernant la protection des renseignements personnels, veuillez communiquer avec nous par courriel à l’adresse privacyofficer@blakes.com. Ce bulletin électronique est publié à titre informatif uniquement et ne constitue pas un avis juridique ou une opinion sur un quelconque sujet. Nous serons heureux de vous fournir des détails supplémentaires ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et communications de Blakes au 514-982-4000 ou par courriel à l’adresse mathieu.rompre@blakes.com. © 2016 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.