L’Autorité des marchés financiers a émis un avis public le 26 janvier pour rappeler aux grandes institutions financières sous sa juridiction les risques posés par les enjeux de cybersécurité.

« Les récents incidents ont mis en perspective la menace omniprésente qui pèse sur toutes les organisations en matière de risques liés aux technologies de l’information, a déclaré par voie de communiqué Louis Morisset, PDG de l’Autorité. Depuis 2013, et ce, de façon continue, l’Autorité n’a cessé de communiquer aux différentes clientèles qu’elle encadre ses préoccupations grandissantes à l’égard des cyberrisques. Nous leur demandons à nouveau aujourd’hui de rehausser de façon significative leur niveau de vigilance et d’accentuer la surveillance de leurs environnements technologiques. »

30 évènements en 2 ans

En entrevue au Portail de l’assurance, Sylvain Théberge, porte-parole de l’Autorité a révélé qu’une trentaine d’évènements liés à la cybersécurité des grandes institutions financières ont été portés à l’attention de l’Autorité au cours des deux dernières années. Face à cette recrudescence, le régulateur a jugé bon de réitérer certaines demandes à l’industrie, dit M. Théberge.

« Il est de notre responsabilité de faire comprendre à nos clientèles que l’on encadre que l’on voit bien ce qui se passe depuis quelques années. Ce qu’ont vécu le Mouvement Desjardins ou encore Promutuel Assurance n’en sont que quelques exemples. Il y a une recrudescence des incidents de sécurité informatique. Il n’y a rien d’alarmant derrière notre objectif de communiquer ce rappel des bonnes habitudes à avoir. C’est aussi un rappel que l’on surveille l’industrie comme le fait un bon père de famille », dit M. Théberge.

3 demandes

Ainsi, l’Autorité formule trois demandes aux grandes institutions financières via son rappel public :

  • Soumettre leurs environnements technologiques à des tests d’intrusion périodiques, et ce, afin d’évaluer le bon fonctionnement ainsi que la suffisance des mécanismes en place;
  • Sensibiliser à nouveau et sur une base régulière l’ensemble de leur personnel à l’égard des risques que représentent les campagnes d’hameçonnage pour la sécurité de l’information;
  • Que les plans de continuité des affaires soient en place et à jour, afin de faire face à toute gestion de crise éventuelle et réduire au maximum les dommages potentiels.

Y a-t-il des manquements à ces trois chapitres ? Non, dit M. Théberge. « De façon générale, il y a une préoccupation et un travail qui est fait. L’important est de ne pas se reposer sur ses lauriers. Les grandes institutions financières ne doivent pas prendre pour acquis que leurs systèmes font le travail. Il faut les tester. Il faut faire des opérations d’intrusion, tout en étant à la fine pointe de la technologie et de la sécurité. Les institutions financières ont mis en place ce qu’il faut, mais elles doivent garder le niveau de vigilance le plus élevé possible. »

Communiquer promptement

Les institutions financières visées par des attaques informatiques auraient-elles pu faire des choses différemment? « Le rôle de l’Autorité n’est pas de critiquer ou de porter des jugements, dit M. Théberge. Tant au niveau de la surveillance que de la règlementation, notre rôle est de s’assurer que la priorité des institutions financières est de sécuriser leurs systèmes face à de telles situations »

À l’impossible nul n’est tenu, reconnait toutefois M. Théberge. « On comprend la situation des institutions qui ont été ciblées, car il n’y a pas de victime de cyberincident qui peut être fier de cela. On veut toutefois s’assurer que la préoccupation et la vigilance face à cet enjeu est au maximum. »

L’Autorité termine sa missive en rappelant qu’il est de la responsabilité des institutions financières et des entreprises qu’elle encadre de l’informer promptement de tout incident opérationnel ainsi que de tout manquement à la protection des renseignements personnels. Son porte-parole a aussi rappelé cette notion en entrevue au Portail de l’assurance.

« Dès qu’il y a un cyberincident de la sorte, l’institution financière doit le rapporter promptement et s’assurer que les mesures qui sont en place sont adéquates. Elles n’ont aucun intérêt à retarder la transmission d’information et à ne pas prendre au sérieux ces risques. Nous n’avons pas d’inquiétudes à cet égard. Notre rôle est de réitérer le message que la vigilance doit être toujours à son maximum », dit M. Théberge.