Les institutions financières fédérales relevant du Bureau du surintendant des institutions financières (BSIF) doivent maintenant signaler une cyberattaque dont ils sont victimes dans un délai de 24 heures.
Le régulateur fédéral a mis à jour le formulaire de signalement à cet égard. Un nouveau questionnaire d’autoévaluation a été produit à cet effet pour les institutions financières fédérales sous l’égide du BSIF. La nouvelle mesure est en vigueur depuis le 13 août.
Les institutions financières fédérales se doivent donc de signaler tout incident lié à la technologie ou à la cybersécurité. Le surintendant décrit le tout comme « un incident qui a, ou pourrait avoir, des conséquences sur les activités d’une institution financière fédérale, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements ». Le BSIF décrit plus d’une quinzaine d’exemples dans sa documentation.
Pourquoi cette règle ?
Le surintendant des institutions financières Peter Routledge en a expliqué les raisons. « Les incidents liés à la technologie et à la cybersécurité comme les rançongiciels et les fuites de données se multiplient. Les institutions financières canadiennes sont un pivot de notre économie. Cette nouvelle version du préavis et du questionnaire d’autoévaluation du BSIF aidera à protéger leurs activités et la stabilité du secteur financier. »
Dans sa documentation, le surintendant ajoute s’attendre à ce que les institutions financières fédérales fassent périodiquement le point à mesure que de nouveaux renseignements deviennent disponibles. Et ce, jusqu’à ce que tous les renseignements importants au sujet de l’incident aient été fournis.
À quelle fréquence cette mise à jour devrait-elle se faire auprès du BSIF ? Le régulateur ne le précise pas implicitement dans sa documentation, mais donne comme exemple de périodicité « à tous les jours ».
Aussi, selon la gravité et les conséquences de l’incident et la vitesse à laquelle il se matérialise, le BSIF indique qu’il peut demander à une institution financière fédérale de modifier la méthode employée pour faire les mises à jour subséquentes ainsi que leur fréquence. « Jusqu’à ce que l’incident soit maîtrisé ou résolu, le BSIF s’attend à ce que les institutions financières fédérales fassent le point sur la situation, y compris au sujet des mesures et des plans de redressement à court et à long terme », peut-on lire dans sa documentation.
Une fois l’incident maîtrisé, les activités reprises et le dossier clos, l’institution financière fédérale doit rendre compte au BSIF de son examen postérieur à l’incident et des leçons apprises.
Qu’arrive-t-il si une institution financière fédérale omet de signaler un tel incident ? « Elle s’expose à une surveillance accrue, notamment des activités de suivi renforcées, à son inscription à la liste de surveillance ou à son classement à un stade d’intervention », indique le BSIF.