English | French Canada
Le BSIF publie de nouvelles lignes directrices eu égard au signalement des incidents liés à la technologie et à la cybersécurité
Perspectives Aon

Le BSIF publie de nouvelles lignes directrices eu égard au signalement des incidents liés à la technologie et à la cybersécurité

 

Le Bureau du surintendant des institutions financières (BSIF), organisme de réglementation des banques et assureurs immatriculés au fédéral, des sociétés de fiducie et de prêt et des régimes de retraite privés assujettis à la réglementation fédérale, a publié le 24 janvier 2019 le document Signalement des incidents liés à la technologie et à la cybersécurité. Les nouvelles lignes directrices, qui entreront en vigueur le 31 mars 2019, s’appliqueront à l’ensemble des institutions financières fédérales (IFF) et remplaceront toute autre consigne antérieure du BSIF relativement au signalement d’incidents liés à la cybersécurité.

En vertu de la nouvelle consigne, les incidents liés à la technologie et à la cybersécurité d’un « niveau de gravité élevé ou critique » doivent être signalés au BSIF « le plus rapidement possible, et au plus tard 72 heures après ». Il revient à l’IFF de déterminer l’importance de l’incident : le BSIF stipule que « les IFF doivent définir l’importance relative des incidents dans leur cadre de gestion des incidents ». Toutefois, le BSIF fournit une liste de critères susceptibles de s’appliquer à un « incident à signaler », notamment :

  • Répercussions opérationnelles importantes sur les systèmes d’information ou les données critiques;
  • Répercussions importantes sur les données opérationnelles ou sur les données des clients de l’IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ces données;
  • Niveaux importants de perturbation des systèmes et des services;
  • Perturbations prolongées des systèmes et activités essentiels;
  • Nombre important ou croissant de clients externes touchés;
  • Répercussions négatives imminentes sur la réputation (p. ex., divulgation publique/médiatique);
  • Répercussions importantes sur les échéances/obligations cruciales rattachées aux systèmes de règlement ou de paiement des marchés financiers;
  • Répercussions importantes sur un tiers essentiel pour l’IFF;
  • Conséquences importantes pour les autres IFF ou pour le système financier canadien;
  • Un incident concernant une IFF a été signalé au Commissariat à la protection de la vie privée du Canada ou aux organismes de réglementation canadiens/étrangers.

 
Le signalement initial de l’incident au BSIF doit inclure des détails quant aux date et heure où l’incident a été classifié important, ainsi que des renseignements quant aux date et heure/période où l’incident est survenu, le niveau de gravité de l’incident et le type d’incident (p. ex., maliciel, violation de données, extorsion), l’état actuel de l’incident ainsi que les mesures d’atténuation prévues et la date du signalement de l’incident à la haute direction ou au conseil d’administration. Les exigences de signalement sont constantes; le BSIF s’attend à ce que les IFF fassent périodiquement le point à mesure que de nouveaux renseignements deviennent disponibles. Après l’incident, l’IFF doit rendre compte au BSIF de son analyse post-incident et des leçons apprises.

L’assurance de responsabilité en matière de cyberresponsabilité contient une couverture précieuse pour l’assuré pouvant aider les entreprises à atténuer les incidences financières du risque technologique et du cyberrisque. Si une société est victime d’une atteinte à la protection des données ou d’un incident lié à la cybersécurité couvert, la cyberassurance peut intervenir pour couvrir les frais liés au signalement et à la communication aux organismes de réglementation, de supervision ou d’administration, tel le BSIF. Une cyberassurance peut également fournir des services d’intervention de premier plan en cas d’atteinte et une indemnité pour les frais de notification et de surveillance du crédit et de l’identité associés. L’assurance responsabilité civile peut également inclure les frais liés au règlement et au jugement, ainsi que les frais judiciaires, dans le cas où une poursuite civile ou une enquête ou une procédure réglementaire serait engagée ultérieurement contre l’organisation à la suite d’un incident lié à la cybersécurité.