Pour offrir des produits et services adaptés aux besoins de leurs clients, les institutions financières doivent s’appuyer autant sur les nouvelles technologies que sur le jugement humain.

Ben Gully, surintendant auxiliaire au Bureau du surintendant des institutions financières (BSIF), a défendu cette thèse devant un parterre réuni à Toronto par l’Institut C.D. Howe, le 7 février. Il a intitulé son discours Risque non financier et résilience opérationnelle : la montée en puissance des machines.

« Bien que la résilience financière doive demeurer au cœur de nos préoccupations, il faut aussi prêter attention à la gestion des risques non financiers. Le relèvement des fonds propres n’améliore pas la résilience face à une cyberattaque », dit M. Gully. Il a ajouté qu’il faut miser sur l’effort humain pour y arriver, et ce, malgré le fait que les machines améliorent le recensement des problèmes et réduisent les couts.

Les mégadonnées : une croissance à gérer

Les mégadonnées sont déjà bien utilisées par les institutions financières pour une multitude de choses : mesurer et gérer le risque de crédit, détecter la fraude, tarifer, optimiser le portefeuille d’investissement, échanger avec les clients et offrir des services-conseils à la clientèle, a énuméré M. Gully. Il a soulevé que le haut volume de mégadonnées peut entrainer de craintes probantes en matière de confidentialité, de risques de poursuite et d’atteinte à la réputation des institutions financières.

M. Gully a souligné que BSIF veut parfaire ses outils, ses compétences et ses programmes de formation face aux nouvelles technologies. Le régulateur procède actuellement à une transformation numérique et peaufine son propre protocole interne d’intervention en cas de cyberaccident, tout en collaborant avec le Centre canadien de cybersécurité, advenant le cas d’un incident de sécurité nationale.

Bien gérer ses relations

Dans son discours, M. Gully aborde la question des tierces parties pouvant intervenir dans une transaction, que ce soit un fournisseur informatique ou un logiciel comptable, notamment. Il appelle les institutions financières à la vigilance, car le service qu’offre ce tiers peut être une source de risques et de dommages éventuels.

« Il faut craindre que les risques que couvrent les tiers se propagent rapidement et engendrent une perturbation des activités. Ce qu’a subi ce fournisseur pourrait entacher la réputation de l’institution financière », dit M. Gully. Le surintendant auxiliaire ajoute que pour cette raison, le BSIF s’attend à ce que les institutions financières comprennent et gèrent en toutes circonstances les risques attachés aux ententes qu’elles concluent avec des tiers et fournisseurs.

Faire preuve de cyberrésilience

La cyberrésilience d’une institution financière tient à sa capacité à bien déceler les intrusions, à intervenir rapidement et à reprendre ses activités, estime M. Gully. Il ajoute que cette résilience réside dans une multitude de choses : sécurité du périmètre de l’entreprise, utilisation de configuration sécurisée, contrôle de l’accès utilisateur, protection contre les logiciels malveillants et gestion des correctifs en sont quelques-unes, énumère-t-il.

M. Gully rappelle que bon nombre de cyberattaques ont été perpétrées par le biais des services bancaires numériques : paiements frauduleux, hameçonnage de données ou vol d’identité par courriel, ainsi que prises de contrôle automatisées de comptes font maintenant partie de leur quotidien.