La British Columbia Securities Commission (BCSC), la Commission des valeurs mobilières de l'Ontario (CVMO) et l'Autorité des marchés financiers ont dernièrement publié l'Avis multilatéral 51-347 du personnel des Autorités canadiennes en valeurs mobilières (ACVM), Information sur les risques et les incidents liés à la cybersécurité. Ce dernier présente les conclusions d'un examen annoncé par les ACVM quant à l'information que devraient fournir les émetteurs assujettis sur la base de ces conclusions.
Il en ressort que 61 % des sociétés constituant l'indice composé S&P/TSX reconnaissent que la cybersécurité représente un risque important pour leurs activités. Les émetteurs d'une grande diversité de secteurs ont en effet indiqué de manière générale que leur dépendance envers les systèmes de technologie de l'information les rendait vulnérables aux atteintes à la cybersécurité, et que les perturbations attribuables aux cyberincidents pouvaient avoir des répercussions négatives sur leurs activités, leurs résultats d'exploitation et leur situation financière.
Une priorité dans le plan d'affaires 2016-2019 des ACVM
L'avis fournit également des indications sur l'information à fournir sur les facteurs de risque et la déclaration d'incidents. Comme les émetteurs sont de plus en plus tributaires des technologies de l'information, et que les cyberattaques gagnent en fréquence et en complexité, les ACVM s’attendent à ce qu'ils tiennent compte de leur exposition aux risques liés à la cybersécurité pour établir l'information sur les facteurs de risque.
Les ACVM ont fait de la cybersécurité une priorité dans leur plan d'affaires 2016-2019. L'Avis 11-332, publié le 27 septembre 2016, insistait sur l'importance des risques liés à la cybersécurité pour les émetteurs, les personnes inscrites et les entités réglementées et informait les parties intéressées de leurs projets récents et à venir. Il indiquait aux émetteurs que des membres des ACVM examineraient l'information communiquée par certains grands émetteurs pour en analyser le contenu sous l'angle des risques liés à la cybersécurité et des cyberattaques. L'Avis 51-347 est le résultat de cet examen.