Les ACVM commentent les pratiques en matière de cybersécurité et de médias sociaux des sociétés inscrites

Les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié l’Avis 33-321 du personnel des ACVM – Cybersécurité et médias sociaux (l’« avis du personnel 33-321 »), qui présente un résumé des résultats d’un sondage sur les pratiques en matière de cybersécurité et de médias sociaux des sociétés inscrites, et fournit des indications sur chacun des aspects abordés dans le sondage. Ces indications reflètent les attentes des ACVM envers les sociétés inscrites, à savoir que celles-ci doivent faire preuve de vigilance pour se protéger, ainsi que leurs clients, contre les cybermenaces.

CONTEXTE

L’année dernière, les ACVM ont mené un sondage sur les pratiques en matière de cybersécurité et de médias sociaux de 630 sociétés inscrites à titre de gestionnaires de fonds d’investissement, de gestionnaires de portefeuille et de courtiers sur le marché dispensé.

L’année dernière, dans l’Avis 11-332 du personnel des ACVM – Cybersécurité, les ACVM se sont penchées sur les risques liés à la cybersécurité pour les participants au marché (pour en savoir davantage, consultez notre Bulletin Blakes de novembre 2016 intitulé Tendances dans le secteur des technologies : fintech et cybersécurité).

Les défis en matière de conformité que posent les médias sociaux ont été abordés en 2011 par les ACVM dans l’Avis 31-325 du personnel des ACVM – Pratiques de commercialisation des gestionnaires de portefeuille. À l’époque, l’accent était mis sur la tenue de dossiers et la surveillance alors qu’aujourd’hui, la principale préoccupation est l’utilisation par des pirates informatiques de renseignements tirés des médias sociaux afin d’accéder aux systèmes informatiques des sociétés. D’autres mises en garde des ACVM sur les médias sociaux ont été traitées dans notre Bulletin Blakes de mars 2017 intitulé Nouveaux médias, mêmes attentes : les ACVM mettent en garde les émetteurs canadiens à propos de l’utilisation des médias sociaux.

Cybersécurité

Les ACVM ont constaté que :

  • 51 % des sociétés ont été touchées par un cyberincident, dont :
    • 43 % par une tentative d’hameçonnage;
    • 18 % par un maliciel;
    • 15 % par une tentative frauduleuse de se faire passer pour un client afin de faire transférer ses fonds ou ses valeurs mobilières.
  • la majorité des sociétés disposent de politiques et de procédures en matière de cybersécurité, mais seulement :
    • 57 % des sociétés se sont dotées de politiques et de procédures portant précisément sur la façon dont elles maintiendraient leurs activités pendant un cyberincident;
    • 56 % des sociétés ont mis en place des politiques et des procédures qui portent sur la formation des employés à cet égard.
  • la plupart des sociétés procèdent à une évaluation des risques au moins une fois par année :
    • alors que 14 % ne le font pas;
    • et 25 % de celles dotées d’un plan d’intervention en cas d’incident ne l’avaient pas mis à l’essai.
  • la quasi-totalité des sociétés ont fait appel à des tiers fournisseurs, parmi celles-ci :
    • 68 % ont effectué un contrôle diligent à l’égard des pratiques en matière de cybersécurité de ces tierces parties;
    • 57 % ont abordé la question de la cybersécurité dans leurs conventions conclues avec les tierces parties.
  • 30 % des sociétés n’ont pas eu recours au chiffrement pour protéger leurs données;
  • toutes les sociétés, à l’exception de quatre, sauvegardent leurs données périodiquement;
  • 41 % des sociétés possèdent une police d’assurance relative à la cybersécurité.

Indications des ACVM

Les ACVM ont fourni des indications particulières sur chaque aspect du sondage.

Politiques et procédures

Les ACVM recommandent aux sociétés de se doter de politiques et de procédures en matière de cybersécurité qui traitent de ce qui suit :

  • l’utilisation des communications électroniques, des appareils électroniques (y compris la perte ou la destruction de ceux-ci) et des appareils publics électroniques ou des connexions Internet publiques, de même que de la vérification des instructions des clients transmises électroniquement;
  • la détection d’activités non autorisées (internes et externes) et la mise à jour des logiciels de sécurité;
  • la supervision des tiers;
  • la déclaration des cyberincidents au conseil d’administration (ou l’équivalent) des sociétés.

Formation

La formation des employés est un moyen de défense essentiel et elle devrait porter sur la reconnaissance des risques, les utilisations sécuritaires, la sécurité et le signalement adéquat des cyberincidents aux échelons supérieurs. Les ACVM recommandent aux sociétés d’offrir régulièrement des programmes de formation afin de demeurer à jour.

Évaluations des risques

Les ACVM recommandent aux sociétés de réaliser une évaluation des risques au moins une fois par année dans le cadre de laquelle les sociétés doivent notamment :

  • inventorier leurs données confidentielles, leurs actifs essentiels et leurs secteurs vulnérables (internes et externes);
  • revoir la façon dont les cybermenaces et les vulnérabilités sont relevées et déterminer leurs conséquences potentielles;
  • évaluer leurs mesures préventives et leurs plans d’intervention, et y apporter des changements, au besoin.

Plans d’intervention en cas d’incident

Selon les ACVM, les sociétés doivent s’assurer de disposer de plans d’intervention écrits qui définissent les responsabilités relatives aux interventions, à la communication de ces incidents et à leur signalement aux échelons supérieurs. Ces plans d’intervention doivent énoncer :

  • les types de cyberattaques auxquels la société est exposée;
  • les façons de neutraliser ces attaques;
  • les procédures relatives à la récupération des données.

Les sociétés doivent également élaborer des procédures d’intervention qui concernent les enquêtes sur les incidents et l’identification des parties devant être avisées, de même que la communication de l’information à ces parties.

Contrôle diligent des tiers fournisseurs

D’après les ACVM, l’accès aux données et aux systèmes d’une société devrait être limité et toutes les conventions écrites conclues avec des tiers fournisseurs devraient prévoir des dispositions relatives à la cybersécurité, notamment l’obligation du tiers d’aviser la société de tout cas d’accès non autorisé et de ses plans d’intervention. Les ACVM recommandent aux sociétés de procéder à un examen périodique de leurs pratiques en matière de cybersécurité et de continuité des activités qui traitent des tierces parties, y compris les fournisseurs de services infonuagiques.

Protection des données

Les ACVM recommandent :

  • d’utiliser le chiffrement et des mots de passe pour protéger tous les appareils électroniques;
  • de sécuriser tout portail fournissant à des tiers un accès aux systèmes ou aux données de la société;
  • de sauvegarder les données sur un serveur externe et de soumettre régulièrement le processus de sauvegarde à des essais.

Assurance

Les ACVM conseillent aux sociétés de revoir leurs polices d’assurance actuelles pour déterminer si une assurance supplémentaire est nécessaire.

MÉDIAS SOCIAUX

Les ACVM ont constaté que :

  • 59 % des sociétés sondées disposent de lignes directrices sur l’utilisation des médias sociaux, mais parmi celles-ci, seules :
    • 36 % ont établi des politiques et des procédures sur la formation des employés en la matière;
    • 21 % sont dotées de politiques propres à la tenue de dossiers de communications sur les médias sociaux.
  • la surveillance des activités sur les médias sociaux est une pratique courante au sein des sociétés, mais seulement 14 % surveillent ces activités en temps réel;
  • 46 % des sociétés effectuent des contrôles ponctuels sur l’utilisation des médias sociaux par des employés à des fins commerciales.

Indications des ACVM

Politiques et procédures

Les ACVM recommandent aux sociétés de superviser la publication de tout contenu sur les plateformes de médias sociaux, et de revoir et de conserver ce contenu. De plus, elles leur conseillent d’inclure des politiques en matière de médias sociaux qui traitent de l’utilisation appropriée, du contenu autorisé, de la mise à jour du contenu, de la tenue de dossiers, et de l’examen et de l’approbation du contenu (y compris une preuve de ceux-ci).

Surveillance des activités sur les médias sociaux

Les sociétés doivent se doter de procédures d’approbation et de surveillance du contenu affiché sur les médias sociaux. Elles devraient surveiller toute utilisation non autorisée même si elles ne permettent pas l’utilisation des médias sociaux à des fins commerciales.

Dans la conclusion de son avis du personnel 33-321, les ACVM indiquent : « Nous continuerons d’évaluer les pratiques des sociétés en matière de cybersécurité et de médias sociaux dans le cadre de nos examens de la conformité. »

Pour en savoir davantage, communiquez avec :

Howard Levine              514-982-4005
Ross McKee                  416-863-3277
Tairroyn Childs              416-863-5251

ou un autre membre de notre groupe Marché des capitaux.

Blakes offre périodiquement des documents sur les tendances et les faits nouveaux en matière juridique aux personnes qui le désirent. Pour obtenir de plus amples renseignements sur nos pratiques concernant la protection des renseignements personnels, veuillez communiquer avec nous par courriel à l’adresse privacyofficer@blakes.com. Ce bulletin électronique est publié à titre informatif uniquement et ne constitue pas un avis juridique ou une opinion sur un quelconque sujet. Nous serons heureux de vous fournir des détails supplémentaires ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et communications de Blakes au 514-982-4000 ou par courriel à l’adresse mathieu.rompre@blakes.com. © 2016 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.