Le Bureau du surintendant des institutions financières (BSIF) a publié la version définitive de la ligne directrice B-13, dans laquelle il énonce ses attentes quant à la façon pour les institutions financières fédérales (IFF) de gérer le risque lié aux technologies et le cyberrisque, comme les fuites de données et les pannes technologiques.
La ligne directrice est organisée en trois domaines : gouvernance et gestion du risque, activités technologiques, et résilience et cybersécurité. Chacun de ces domaines énonce les principales composantes, notamment les résultats souhaités, pour aider les institutions à comprendre les attentes du BSIF.
Le document avait fait l’objet d’une consultation avec l’industrie en 2020, puis un autre exercice avait eu lieu en novembre 2021 sur la version à l’étude de la ligne directrice. « Par rapport à la version à l’étude ayant fait l’objet d’une consultation, la version finale est une nouvelle mouture moins normative, simplifiée, et qui comprend des définitions et des attentes plus claires », indique le BSIF dans le communiqué annonçant la publication de la nouvelle ligne directrice.
« Ces attentes visent à aider les IFF à être plus résilientes face au risque lié aux technologies et au cyberrisque », dit-on dans l’introduction du document.
Dix-sept principes
La ligne directrice comporte 17 principes. Le premier est le suivant : « La haute direction doit confier la responsabilité de la gestion du risque lié aux technologies et du cyberrisque à des cadres supérieurs. Elle doit également veiller à ce qu’une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer le risque lié aux technologies et le cyberrisque à l’échelle de l’IFF. »
Le BSIF poursuit en disant que les institutions doivent veiller à fournir une structure, des ressources et une formation appropriées, et qu’elles doivent faire valoir une culture de sensibilisation au risque lié aux technologies et au cyberrisque dans l’ensemble de l’institution.
En outre, le BSIF indique que les IFF doivent définir, documenter et mettre en œuvre des plans stratégiques en matière de technologie et de cybersécurité. Il décrit ensuite les éléments que ces plans doivent comprendre. Il est également question de cadre de gestion du risque lié aux technologies et du cyberrisque, ainsi que des processus de gestion et de suivi du risque et de production de rapports à cet égard. Le cadre de gestion du risque doit être en constante amélioration.
Recensement et évaluation des risques
« L’IFF doit tenir un inventaire à jour de tous les actifs technologiques à l’appui des processus ou fonctions opérationnels. Les processus de gestion des actifs de l’IFF doit traiter du classement des actifs pour faciliter le recensement et l’évaluation des risques, consigner les configurations pour assurer l’intégrité des actifs, prévoir l’aliénation sécurisée des actifs à la fin de leur cycle de vie et surveiller et gérer le caractère actuel des technologies. », ajoute-t-on.
On demande aux institutions de répertorier les actifs détenus ou loués par elles et les actifs de tiers utilisés pour stocker ou traiter leurs renseignements ou pour fournir des services opérationnels essentiels.
Enfin, la ligne directrice traite aussi de gestion de projets ; de gestion des changements et des versions ; de gestion des correctifs ; de gestion des incidents et des problèmes ; d’évaluation et de suivi des services technologiques ; de reprise après sinistre (le BSIF indique que les scénarios de reprise doivent être testés et précise ce qu’ils doivent vérifier) ; d’évaluation des menaces (et des mises à l’essai connexes) ; d’évaluation et du classement des vulnérabilités ; de connaissance situationnelle (à assurer en continu) ; de capacités en matière enquêtes criminalistiques ; et de modélisation des menaces.
Le BSIF précise que la ligne directrice n’entrera pas en vigueur avant le 1er janvier 2024 pour donner suffisamment de temps aux institutions de procéder à une autoévaluation et de faire ce qu’il faut pour se conformer.
