Le BSIF publie un préavis sur les exigences en matière de signalement des incidents liés à la technologie et à la cybersécurité

Le 24 janvier 2019, le Bureau du surintendant des institutions financières (le « BSIF ») a publié un préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité (le « préavis »), qui s’applique à toutes les institutions financières fédérales (les « IFF »). Le préavis crée de nouvelles obligations en matière de signalement des incidents pour les IFF. Ces exigences entreront en vigueur le 31 mars 2019. Les fournisseurs de services des IFF devraient également se familiariser avec les exigences imposées aux IFF aux termes du préavis, puisqu’ils pourraient être contractuellement tenus par les IFF de respecter ces exigences.

CONTEXTE

Le BSIF a fait savoir que la cybersécurité représente un risque important qui s’accroît avec l’utilisation continue des technologies par les IFF. Le BSIF a réalisé un examen intersectoriel de la cybersécurité auprès de certaines IFF au cours de l’exercice 2017-2018, évaluant les mesures prises par les IFF dans le cadre d’un scénario de cyberincident grave, mais plausible, chez un tiers. Il a également évalué sa propre capacité à répondre aux risques de cybersécurité, notant dans son Rapport sur les résultats ministériels 2017-2018 qu’il existe un risque que le BSIF ne réponde pas efficacement aux cybermenaces visant les IFF. Par ailleurs, le BSIF réexamine actuellement son rôle quant à la gestion des cyberrisques par les institutions financières à la lumière du plan du gouvernement du Canada de créer le Centre canadien pour la cybersécurité, comme le soulignent le Plan ministériel 2018-2019, le Rapport annuel du BSIF 2017-2018 et les Prioritiés du BSIF pour 2017-2020, notamment la priorité B, soit de « [r]enforcer notre capacité de prévoir et de prévenir les risques graves et plausibles qui menacent le système financier canadien ». Le BSIF a d’ailleurs signalé, dans le cadre de cette priorité, son intention de réexaminer son rôle et son approche dans le but d’améliorer la cybersécurité dans les institutions financières canadiennes.

Le préavis énonce l’exigence imposée aux IFF de signaler au BSIF les incidents liés à la technologie et à la cybersécurité. Le préavis doit être lu en parallèle avec la note d’information du BSIF de 2013, Conseils sur l’auto-évaluation en matière de cybersécurité, qui porte sur la prévention et la gestion des incidents.

Il est noté dans le préavis que les exigences de signalement visent à aider l’ensemble du secteur financier à repérer les points qui pourraient être améliorés pour prévenir de tels incidents de façon proactive ou augmenter sa résilience dans l’éventualité d’un incident. Autrement dit, les exigences de signalement remplissent deux fonctions : i) aider le BSIF à s’acquitter de ses obligations de surveillance; et ii) recueillir des renseignements sur les risques, les menaces et les pratiques exemplaires en évolution, ce qui cadre avec les priorités du BSIF susmentionnées.

EXIGENCES EN MATIÈRE DE SIGNALEMENT DES INCIDENTS

Le préavis prévoit que les IFF sont tenues de signaler au BSIF certains incidents liés à la technologie et à la cybersécurité, lesquels sont définis comme pouvant « avoir des conséquences importantes sur les activités habituelles d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements. »

Un incident doit être signalé au BSIF si l’on détermine que son « niveau de gravité est élevé ou critique », et il incombe à l’IFF concernée d’évaluer ce niveau de gravité. Or, en cas de doute au sujet de l’importance ou de la gravité d’un incident, l’IFF doit consulter son chargé de surveillance du BSIF.

Le préavis présente une liste partielle d’exemples d’incidents à signaler (énoncés à l’annexe A) ainsi que leurs caractéristiques, notamment :

  • les répercussions opérationnelles importantes pour les utilisateurs à l’interne, lesquelles entraînent à leur tour des conséquences importantes pour les clients ou sur les activités opérationnelles;
  • les perturbations prolongées des systèmes et activités essentiels;
  • le nombre important ou croissant de clients externes touchés;
  • les répercussions importantes sur les échéances/obligations cruciales rattachées aux systèmes de règlement ou de paiement des marchés financiers (par exemple, infrastructure des marchés financiers);
  • les répercussions importantes sur un tiers essentiel pour l’IFF;
  • les conséquences importantes pour les autres IFF ou pour le système financier canadien;
  • un incident concernant une IFF qui a été signalé au Commissariat à la protection de la vie privée du Canada ou aux organismes de réglementation canadiens/étrangers.

SIGNALEMENT AU BSIF

Le préavis prévoit qu’un incident d’une gravité élevée ou critique doit d’abord être signalé au BSIF le plus rapidement possible, et au plus tard 72 heures après que l’IFF a déterminé qu’il s’agit d’un incident à signaler. L’IFF est également tenue d’aviser par écrit son chargé de surveillance et la Division des risques liés à la technologie du BSIF. Le rapport soumis par l’IFF doit comporter les éléments suivants :

  • La date et l’heure auxquelles l’incident a été classifié important;
  • La date et l’heure (ou la période) auxquelles l’incident est survenu;
  • Le degré de gravité de l’incident et le type d’incident (par exemple, attaque par DDoS, maliciel, violation de données, extorsion), et la cause première connue ou soupçonnée;
  • Une description de l’incident comprenant :
    • les répercussions connues (directes ou indirectes, quantifiables ou non quantifiables), notamment sur la protection des renseignements personnels et financiers;
    • les répercussions connues sur les segments ou secteurs d’activité, les unités opérationnelles ou les régions, y compris tout tiers en cause;
    • si l’incident est survenu chez un tiers ou a une incidence sur les services d’un tiers;
    • le nombre de clients touchés.
  • La méthode principale utilisée pour détecter l’incident;
  • La date du signalement de l’incident à la haute direction ou au conseil d’administration;
  • Les mesures d’atténuation prises ou prévues;
  • Le nom et les coordonnées de la personne-ressource de l’IFF assurant la liaison avec le BSIF.

Si l’IFF ne dispose pas de toute l’information au moment du signalement initial, elle doit fournir les meilleures estimations possible et tout autre renseignement disponible à ce moment. Évidemment, le BSIF s’attend à ce que l’IFF fournisse des mises à jour et des rapports sur la situation de façon continue pendant toute la durée de l’incident, notamment en communiquant régulièrement avec son chargé de surveillance jusqu’à ce que l’incident soit maîtrisé ou résolu. Une fois l’incident résolu, l’IFF doit rendre compte au BSIF de son analyse post-incident et des leçons qu’elles a tirées de la situation.

POINTS À RETENIR

Les IFF devraient saisir cette occasion pour réexaminer, voire réviser, leur plan et leurs protocoles d’intervention en cas d’incident afin de s’assurer de leur conformité aux exigences du BSIF, y compris leur cadre de gestion des incidents, lequel doit être mis à jour pour permettre l’évaluation et le signalement des incidents en temps opportun et de manière uniforme.

En outre, les IFF devraient revoir les ententes qu’elles ont conclues avec leurs fournisseurs de services qui disposent d’un accès aux données ou aux systèmes des IFF, ou dont les services sont importants sur le plan opérationnel, pour s’assurer que tous les incidents sont signalés à l’IFF en temps opportun, quelle que soit la gravité de l’incident.

Finalement, notons que les exigences de signalement prévues par le préavis s’appliquent, peu importe si l’incident met en cause des renseignements personnels. Elles sont donc potentiellement de portée plus large que celles prévues à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») en matière de notification et de tenue de registre des atteintes, lesquelles sont entrées en vigueur le 1er novembre 2018. À titre d’exemple, une défaillance technologique qui bloque l’accès à un système en ligne critique, sans toutefois entraîner le traitement non autorisé ou la perte de renseignements personnels, doit être signalée au BSIF. Or, cette même défaillance technologique ne satisferait probablement pas au critère de déclaration et de tenue de registre prévu à la LPRPDE.

Pour en savoir davantage sur les exigences en matière de notification des atteintes prévues par la LPRPDE, consultez les Bulletins Blakes suivants :

Pour en savoir davantage, communiquez avec :

Marie-Hélène Constantin   514-982-4031
Annick Demers                   514-982-4017
Wendy Mee                        416-863-3161
Imran Ahmad                     416-863-4329
Elizabeth Sale                    416-863-2602
Amir Eftekharpour              416-863-2480

ou un autre membre de nos groupes Protection de la vie privée ou Réglementation des services financiers.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.