Publiée en février 2020, la Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications (TIC) entrera en vigueur le 27 février prochain, tel que prévu, a appris le Portail de l’assurance.

La pandémie de COVID-19 n’aura pas eu d’impact sur la mise en application de ce cadre édicté par l’Autorité des marchés financiers, a indiqué son porte-parole Sylvain Théberge, au Portail de l’assurance.

Quel objectif vise l’Autorité avec cette ligne directrice ? Le régulateur dit vouloir renforcer la résilience du secteur financier face à la gestion du risque posé par les TIC. « Ces attentes visent notamment l’établissement d’une hygiène adéquate de sécurité par la mise en place de mesures contribuant à prévenir la matérialisation d’un incident majeur et à limiter ses impacts », peut-on y lire.

L’Autorité s’attend donc à ce que les assureurs appliquent les principes de gouvernance et de gestion de risque qui y sont prônés dès le 27 février. Cela survient au moment où un assureur de dommages, Promutuel Assurance, a subi une attaque informatique qui paralyse ses systèmes depuis le 12 décembre. L’Unique assurances générales avait aussi été visée par une attaque peu avant. L’Autorité avait d’ailleurs révélé au Portail de l’assurance que 30 évènements ciblant des institutions financières québécoises avaient été portés à son attention au cours des deux dernières années.

« Il est de la responsabilité de l’institution de bien comprendre l’ensemble des risques TIC auxquels elle est confrontée et de s’assurer qu’ils soient pris en compte adéquatement en fonction de sa nature, de sa taille, de la complexité de ses activités et de son profil de risque. Il est également de la responsabilité de l’institution de connaître les meilleures pratiques en matière de gestion des risques TIC et de se les approprier dans la mesure où celles-ci répondent à ses besoins », peut-on aussi lire dans la ligne directrice de l’Autorité.

1er au Canada

Sylvain Théberge a aussi mentionné au Portail de l’assurance que l’Autorité est le premier régulateur prudentiel à développer un tel encadrement au Canada. La ligne directrice s’applique aux institutions financières que l’Autorité encadre, a-t-il aussi spécifié, mais elle ne s’applique pas aux banques, puisqu’elles relèvent du Bureau du surintendant des institutions financières (BSIF). « Par contre, les assureurs et sociétés de fiducie appartenant à des banques, et qui doivent détenir un permis de l’Autorité pour faire affaire au Québec, sont visés », précise M. Théberge.