Consultation sur la nouvelle ligne directrice B-13 du BSIF sur la technologie et la gestion des cyberrisques | Blake, Cassels & Graydon LLP

16 novembre 2021 ThePressFree Aucun commentaire

Le 9 novembre 2021, le Bureau du surintendant des institutions financières (BSIF) a lancé une consultation publique de trois mois sur une nouvelle ébauche de ligne directrice B-13 : Technologie et gestion des cyberrisques (ébauche de ligne directrice). La publication de la nouvelle ébauche de ligne directrice fait suite à la consultation du BSIF sur les risques technologiques dans le secteur financier qui a été lancée en septembre 2020 (voir notre Bulletin Blakes : Risques technologiques et résilience dans le secteur financier : le BSIF publie un document de travail sur les risques numériques.) Le BSIF a publié un résumé des commentaires reçus de cette consultation antérieure en mai 2021, qui est également abordé dans le projet de ligne directrice et le BSIF connexe. lettre.

Le projet de ligne directrice s’appliquera à toutes les institutions financières sous réglementation fédérale (IFF), y compris les banques, les assureurs et les sociétés de fiducie et de prêt. Aucune exception n’est identifiée pour les succursales canadiennes de banques étrangères autorisées et d’assureurs étrangers, bien que le BSIF note que les IFF doivent mettre en œuvre le projet de ligne directrice en fonction de leur taille, de la nature, de la portée et de la complexité de leurs opérations et de leur profil de risque.

La nouvelle ébauche de ligne directrice complétera, plutôt que remplacera, les lignes directrices et les outils existants du BSIF sur la gestion des risques opérationnels et l’impartition, y compris les lignes directrices E‑21 : Gestion des risques opérationnels B-10 : Impartition des activités, fonctions et processus commerciaux et la récente mise à jour Cybersécurité Avis d’auto-évaluation et de rapport d’incident de technologie et de cybersécurité. Le BSIF réitère également son intention d’examiner en temps voulu les directives existantes sur l’impartition et la gestion des risques opérationnels.

L’ébauche de ligne directrice énonce les attentes du BSIF en matière de gestion des technologies de l’information et des cyberrisques. Il est organisé en cinq domaines : la gouvernance et la gestion des risques, les opérations technologiques, la cybersécurité, la technologie des fournisseurs tiers et le cyber-risque, et la résilience technologique. Pour chaque domaine, le BSIF précise un résultat souhaité et énonce des principes quelque peu normatifs. Chacun des domaines ainsi que les attentes et les principes directeurs liés aux résultats sont résumés dans le tableau ci-dessous.

L’objectif du BSIF en adoptant cette approche à plusieurs niveaux est d’offrir aux IFF une flexibilité conforme aux directives fondées sur des principes tout en fournissant suffisamment de clarté sur les attentes réglementaires. Tel qu’indiqué ci-dessous, le BSIF sollicite expressément les commentaires de l’industrie sur la question de savoir si le projet de ligne directrice atteint le juste équilibre entre les approches normatives et fondées sur des principes en matière d’orientation réglementaire.

Les résultats énoncés et les principes plus spécifiques pour chacun des cinq domaines sont résumés dans le tableau ci-dessous.

Les attentes du BSIF se veulent neutres sur le plan technologique (par exemple, le BSIF n’avance pas d’attentes propres à l’informatique quantique) et visent à aider les IFF à accroître leur résilience face aux risques technologiques et cybernétiques. Le projet de ligne directrice énonce des définitions spécifiques du risque technologique et du cyber-risque.

Risque technologique est défini comme le risque résultant de l’inadéquation, de la perturbation, de la défaillance, de la perte ou de l’utilisation malveillante des systèmes informatiques, de l’infrastructure, des personnes ou des processus qui permettent et soutiennent les besoins de l’entreprise et peuvent entraîner des pertes financières. Le BSIF précise que La technologie dans le projet de directive fait référence aux technologies de l’information.
Cyber risque ou risque de cybersécurité est défini comme le risque de perte financière, de perturbation des opérations ou d’atteinte à la réputation résultant de l’accès non autorisé, de l’utilisation malveillante et non malveillante, de la défaillance, de la divulgation, de la perturbation, de la modification ou de la destruction des systèmes informatiques d’une IFF et/ou des données qu’ils contiennent. Le BSIF précise également que le terme cyber fait également référence à la sécurité de l’information.

La consultation du BSIF, qui est ouverte jusqu’au 9 février 2022, sollicite des commentaires sur le projet de ligne directrice en mettant particulièrement l’accent sur les questions suivantes :

Clarté des attentes du BSIF dans le projet de ligne directrice
Application des attentes du BSIF, en fonction de la taille, de la nature, de la portée et de la complexité des opérations de l’IFF
Équilibre entre l’approche fondée sur des principes et le caractère normatif des attentes du BSIF

Le BSIF devrait tenir une séance d’information sur le projet de ligne directrice au cours des prochaines semaines.

Projet de directive B-13 : Domaines, résultats et principes

DOMAINE 1 : Gouvernance et gestion des risques

Responsabilité formelle, leadership, structure organisationnelle et cadre utilisés pour soutenir la gestion et la surveillance des risques liés à la technologie et à la cybersécurité

Résultat attendu: La technologie et les cyber-risques sont régis par des responsabilités et des structures claires, ainsi que par des stratégies et des cadres complets.

Principe 1: Responsabilisation et structure organisationnelle
La haute direction devrait confier la responsabilité de la gestion de la technologie et des cyber-risques aux cadres supérieurs. Il devrait également veiller à ce qu’une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer la technologie et les cyber-risques dans l’IFF.
Principe 2: Technologie et cyberstratégie
L’IFF devrait définir, documenter, approuver et mettre en œuvre un ou des plans stratégiques en matière de technologie et de cybersécurité. Le ou les plans devraient s’aligner sur la stratégie commerciale de l’IFF et établir des buts et des objectifs mesurables qui évoluent avec les changements dans la technologie et le cyberenvironnement de l’IFF.
Principe 3 : Cadre de gestion de la technologie et des cyberrisques
L’IFF devrait établir un cadre de gestion des risques technologiques et cybernétiques. Le cadre devrait énoncer une propension au risque pour la technologie et les cyber-risques, et définir les processus et les exigences que l’IFF utilise pour identifier, évaluer, gérer, surveiller et faire rapport sur la technologie et les cyber-risques.

DOMAINE 2 : Opérations technologiques

Gestion et surveillance des risques liés à la conception, la mise en œuvre et la gestion des actifs et services technologiques

Résultat attendu : Un environnement technologique stable, évolutif et résilient. L’environnement est tenu à jour et soutenu par des processus d’exploitation technologiques robustes et durables.

Principe 4: Architecture technologique
L’IFF devrait mettre en œuvre un cadre d’architecture technologique, avec des processus de soutien pour s’assurer que les solutions sont conçues conformément aux exigences commerciales, technologiques et de sécurité.

Principe 5 : Gestion des actifs technologiques
L’IFF doit tenir à jour un inventaire de tous les actifs technologiques à l’appui des processus ou fonctions opérationnels. Le processus de gestion des actifs de l’IFF devrait traiter de la classification des actifs pour faciliter l’identification et l’évaluation des risques, enregistrer les configurations pour assurer l’intégrité des actifs, prévoir l’élimination sûre des actifs à la fin de leur cycle de vie et surveiller et gérer l’actualité technologique.

Principe 6 : Gestion de projet technologique
Des processus efficaces sont en place pour régir et gérer les projets technologiques, du lancement à la clôture, afin de s’assurer que les résultats du projet sont alignés sur les objectifs commerciaux et sont atteints dans le respect de l’appétit pour le risque de l’IFF.

Principe 7 : Cycle de vie du développement du système (SDLC)
L’IFF devrait mettre en œuvre un cadre SDLC pour le développement, l’acquisition et la maintenance sécurisés de systèmes technologiques qui fonctionnent comme prévu à l’appui des objectifs commerciaux.

Principe 8 : CHange et gestion des versions
L’IFF devrait établir et mettre en œuvre un processus de gestion des changements et des versions technologiques et des documents justificatifs pour s’assurer que les changements apportés aux actifs technologiques sont documentés, évalués, testés, approuvés, mis en œuvre et vérifiés d’une manière contrôlée qui garantit une perturbation minimale de l’environnement de production.

Principe 9 : Gestion des correctifs
L’IFF devrait mettre en œuvre des processus de gestion des correctifs pour assurer une application contrôlée et en temps opportun des correctifs dans son environnement technologique afin de remédier aux vulnérabilités et aux failles.

Principe 10 : Gestion des incidents et des problèmes
L’IFF doit détecter, consigner, gérer, résoudre, surveiller et signaler efficacement les incidents technologiques et minimiser leurs impacts.

Principe 11 : Mesure et surveillance des services technologiques
L’IFF devrait élaborer des normes de service et de capacité, ainsi que des processus pour surveiller la gestion opérationnelle de la technologie, en veillant à ce que les besoins opérationnels soient satisfaits.

DOMAINE 3 : Cybersécurité

Gestion et surveillance du risque cyber

Résultat attendu : Une posture technologique sécurisée qui maintient la confidentialité, l’intégrité et la disponibilité des actifs technologiques de l’IFF.

Principe 12 : Identifier
L’IFF devrait maintenir une gamme de pratiques, de capacités, de processus et d’outils pour identifier et évaluer la cybersécurité pour les faiblesses qui pourraient être exploitées par des acteurs externes et internes.

Principe 13 : Défendre
L’IFF devrait concevoir, mettre en œuvre et maintenir des contrôles et des mesures de cybersécurité préventifs à plusieurs niveaux pour protéger ses actifs technologiques.

Principe 14 : Détecter
L’IFF conçoit, met en œuvre et maintient des capacités de détection de sécurité continues pour permettre la surveillance, l’alerte et les enquêtes judiciaires sur les incidents de cybersécurité.

Principe 15 : Répondre, récupérer et apprendre
L’IFF devrait trier, réagir, contenir, récupérer et tirer des leçons des incidents de cybersécurité ayant une incidence sur ses actifs technologiques, y compris les incidents provenant de fournisseurs tiers.

Domaine 4 : technologie de fournisseur tiers et cyberrisquek

Établit des attentes pour les IFF qui s’engagent avec des fournisseurs tiers pour obtenir des services technologiques et cybernétiques et/ou d’autres services qui donnent lieu à des risques cybernétiques et/ou technologiques

RÉSULTAT: Technologie fiable et sécurisée et cyber-opérations de fournisseurs tiers

Principe 16:
L’IFF doit veiller à ce que des contrôles et des processus efficaces soient mis en œuvre pour identifier, évaluer, gérer, surveiller, signaler et atténuer les risques technologiques et cybernétiques tout au long du cycle de vie du fournisseur tiers, de la diligence raisonnable à la résiliation/la sortie.

DOMAINE 5 : Résilience technologique

Capacités à fournir des services technologiques en cas de perturbation opérationnelle

Résultat attendu : Les services technologiques sont fournis, comme prévu, par des perturbations

Principes 17 et 18: reprise après sinistre
L’IFF devrait établir et maintenir un cadre de reprise après sinistre pour appuyer sa capacité de fournir des services technologiques en cas d’interruption et de fonctionner dans les limites de sa tolérance au risque.

L’IFF devrait effectuer des tests de scénarios sur les capacités de reprise après sinistre pour confirmer que ses services technologiques fonctionnent comme prévu en cas de perturbation.