Rigueur réglementaire : s’adapter à l’environnement des cyberrisques

La gestion des risques liés aux technologies et à la cybersécurité constitue un élément essentiel de la gouvernance pour toutes les institutions financières fédérales (IFF). Afin d'aider les IFF à renforcer leur résilience face aux perturbations opérationnelles, aux pertes financières et aux atteintes à la réputation, le Bureau du surintendant des institutions financières du Canada (BSIF) a publié le projet de ligne directrice B-13. Les IFF qui traitent des transactions au Canada et à l'étranger devront demeurer conformes aux attentes énoncées dans la ligne directrice B-13 et faire part à l'organisme de réglementation des mesures qu'elles prennent afin d'y parvenir.

Lisez notre nouvel article sur la gestion du risque liée aux technologies et du cyberrisque et sur la façon dont les IFF peuvent obtenir les résultats énoncés dans la ligne directrice B-13 du BSIF.

Alors que les IFF travaillent de manière proactive pour prendre une longueur d'avance, elles devront repérer les lacunes dans leurs activités actuelles en ce qui concerne les exigences réglementaires imposées par la ligne directrice B-13. Voici les principaux éléments à prendre en considération quant aux cinq domaines de la gestion des cyberrisques présentés dans le cadre de la nouvelle ligne directrice.

La gestion des risques est un élément fondamental de la gouvernance. Elle implique l'examen des actifs essentiels, y compris des vecteurs de menace qui peuvent les toucher, ainsi que du meilleur moyen de les protéger grâce à la mise en place de contrôles auprès des employés, des processus et de la technologie. Une fois que les risques associés aux actifs essentiels ou aux actifs numériques attrayants ont été pris en compte, il incombe aux IFF d'évaluer et de signaler tout risque résiduel qui subsiste après le déploiement de contrôles sur les incidents survenus.

L'un des aspects les plus difficiles de ce domaine est la création d'énoncés relatifs à la propension au cyberrisque, dans le cadre desquels les institutions doivent établir des mesures et des seuils qui déclencheront certaines réactions, comme des correctifs ou une transmission aux échelons supérieurs. Toutefois, le réel défi consiste en la reconnaissance de l'appétence de l'institution, notamment lorsque vient le temps de rendre des comptes aux dirigeants et aux administrateurs. Les IFF doivent donc posséder une définition claire de leur propension au cyberrisque et de la manière de le mesurer. L'une des façons les plus efficaces de le faire est la production d'énoncés qualitatifs de la propension au cyberrisque et de données à l'appui. Les institutions doivent établir des limites, des seuils et des niveaux de tolérance en plus de mettre en place une structure de présentation de l'information.

De plus, les IFF doivent être en mesure de démontrer sur quoi est fondé leur cadre de gestion du cyberrisque, comme NIST 800-53, ISO 27005, ou leur cadre de gestion du risque d'entreprise, par exemple. Les modifications qu'elles apportent au cadre de gestion du cyberrisque doivent être retraçables, et elles doivent consigner les mesures prises afin de pouvoir les démontrer. De la documentation est donc essentielle, non seulement pour les processus déjà en place, mais aussi pour ceux qui ne sont pas encore arrivés à maturité ou qui n'ont pas encore été mis en service.

En plus d'évaluer leurs solutions technologiques et comment elles interagissent, les IFF doivent également examiner les contrôles qui s'y appliquent et veiller à ce que leur accès ait été limité correctement. Le recours à la technologie est chose courante depuis des décennies auprès d'IFF dotées d'actifs et de systèmes essentiels. Toutefois, en raison de cela, de nombreuses applications existantes sont hébergées sur des serveurs qui ne sont plus pris en charge et pour lesquels des correctifs ne seront plus déployés. En outre, migrer ces applications vers le nuage ou un autre serveur peut s'avérer complexe étant donné qu'elles doivent être accessibles en tout temps.

En plus de savoir quels actifs technologiques existent et ce qu'ils contiennent, les IFF doivent être au fait de la responsabilisation face au risque :

• Qui est responsable des risques associés aux données?
• Qui est responsable des risques associés à une application donnée?
• Qui est responsable des risques associés aux actifs?
• Qui possède les serveurs, les ordinateurs de bureau et les imprimantes?

Tout examen des appareils existants devrait aussi inclure la mise à niveau de certains processus et le déploiement de contrôles compensatoires à leur effet si les contrôles de base ne peuvent être mis en œuvre.

Un autre élément essentiel lié aux opérations technologiques que les IFF doivent prendre en considération est le cycle de développement de systèmes sécurisés. Celui-ci a habituellement pour objectif l'élaboration de systèmes et de logiciels de la plus haute qualité au moindre coût et en un minimum de temps. Il devrait donc être fondé sur des exigences de sécurité solides et établir des pratiques liées à l'intégration d'opérations de développement et de sécurité ainsi que des opérations technologiques afin que de nouveaux logiciels puissent être déployés tout en ne compromettant pas la sécurité de l'application. Les IFF devraient veiller à ce qu'une évaluation du risque de sécurité soit effectuée pour chaque système ou logiciel qu'elles acquièrent, en plus de définir et de mettre en œuvre des normes de codage afin d'assurer que les codes soient sûrs et stables.

Il incombe également aux IFF de mettre en œuvre des processus liés à la gestion du changement et des versions ainsi qu'à la gestion des correctifs. Ces processus devraient comprendre des protocoles de test pour tous les changements apportés à la technologie et pour assurer que des correctifs y sont appliqués, et ce, afin de traiter toutes les vulnérabilités et les défauts en temps opportun.

Un élément crucial de la protection contre les cyberincidents est l'identification des menaces et des risques – tâche que les IFF confient habituellement à un centre des opérations de sécurité interne ou externe. Les IFF doivent être en mesure de démontrer les mesures prises en réponse à un incident qui est survenu, et de prouver qu'elles ont mis en place des contrôles pertinents. De plus, il est essentiel qu'elles effectuent une analyse des causes profondes après chaque incident. Cela s'intègre dans le cadre de gestion des risques des IFF, notamment à la phase d'évaluation. La gestion des technologies et du cyberrisque est donc un processus cyclique : établir la stratégie, assurer une surveillance, gérer les risques et y répondre, et apporter des modifications à la stratégie au besoin, selon le résultat obtenu.

Les IFF possèdent de nombreux contrôles qui ont pour objectif de protéger leur technologie et de se prémunir contre le cyberrisque. Peuvent-elles prouver que tous leurs tiers fournisseurs ont mis en place des contrôles similaires? Qu'en est-il des tiers de ces fournisseurs? Un programme rigoureux de contrôle diligent peut contribuer à assurer que tous les tiers fournisseurs possèdent un cadre de gestion des risques harmonisé à celui de l'IFF.

Il incombe également d'évaluer les contrôles d'atténuation ou compensatoires des IFF afin de s'assurer qu'elles seront capables de répondre à un incident en cas de défaillance du côté du tiers. Les tiers fournisseurs devraient être conformes aux normes de l'IFF, pouvoir fournir une démonstration de leur travail et prouver qu'ils satisfont ou dépassent ces normes. À ces fins, les IFF pourraient demander aux tiers fournisseurs de démontrer leur conformité aux normes nationales et internationales, notamment en prouvant qu'ils respectent les normes SOC 2, qui visent à réduire certains risques émanant de la relation entre les IFF et leurs tiers fournisseurs. L'IFF sera donc en mesure de se concentrer sur les secteurs qui ne sont pas couverts par les tiers fournisseurs. L'IFF pourrait également travailler en collaboration avec une plus petite organisation qui n'a pas encore atteint le seuil de maturité requis pour satisfaire à toutes les normes. Dans ce cas, il pourrait être judicieux d'opter pour une stratégie différente. Par exemple, l'IFF pourrait lui demander de se conformer à ses propres normes de contrôle.

L'infonuagique est un sujet de préoccupation qui nécessite une attention particulière. Il ne s'agit pas d'une nouvelle technologie, mais nombreuses sont les IFF qui hésitent à l'adopter en raison des risques inhérents que présente le stockage de données à l'extérieur de l'organisation. Lorsqu'elles mettent en œuvre le stockage infonuagique, les IFF doivent voir plus loin que la sécurité physique de l'environnement de cette technologie et veiller à ce que les normes de sécurité adéquates s'appliquent aux plateformes infonuagiques. Les questions suivantes peuvent s'avérer pertinentes :

• Quelles sont les données?
• Doit-on protéger les données?
• Qui peut accéder aux données?
• Les données intégrées aux courriels sont-elles chiffrées?
• Qu'arrive-t-il aux données une fois qu'elles parviennent à l'ordinateur portable du destinataire?
• Comment les données sont-elles protégées lorsqu'elles sont stockées sur les serveurs d'une autre organisation ou qu'elles quittent l'environnement de l'IFF?

En fin de compte, si un cyberincident se produit, la responsabilité revient à l'IFF – c'est à elle de gérer sa réputation et son risque. D'ailleurs, puisque de nombreuses organisations du secteur des services financiers font toujours appel à des parties externes en ce qui concerne le signalement ou la réponse aux intrusions, les IFF se doivent de mettre en place un plan de gestion des risques associés aux tiers fournisseurs.

Le risque s'étend également au-delà du domaine de l'informatique et du périmètre réglementaire de la ligne directrice B-13. Étant donné qu'un nombre croissant de clients intègrent les principes environnementaux, sociaux et de gouvernance (ESG) à leur processus de prise de décisions, il est important que les IFF évaluent les pratiques éthiques et environnementales de leurs fournisseurs tiers. Cela peut les aider à éviter les conséquences coûteuses d'une atteinte à la réputation.

Après un incident, les organisations doivent être en mesure de poursuivre leurs activités essentielles. En plus de plans et de guides d'intervention en cas d'incident, il incombe aux IFF de mettre sur pied un centre des opérations de sécurité chargé d'effectuer un suivi en temps réel des activités, de répondre à des situations et même de contrecarrer les attaques, en tout temps.

L'intervention en cas d'incident est étroitement liée à la poursuite des activités et à la reprise après sinistre. Cela va au-delà de la cybersécurité : pensons notamment aux répercussions d'événements récents au Canada, tels que les feux de forêt, les inondations et la pandémie de COVID-19. La mise en place d'un scénario d'intervention en cas d'incident et de reprise après sinistre est donc essentielle. Celui-ci devrait comprendre des tests effectués à plusieurs niveaux de l'organisation, dont l'exploitation, la direction et la haute direction.

Le BSIF a récemment modifié son exigence en matière de déclaration d'incidents de sécurité informatique : dorénavant, ceux-ci doivent être signalés dans un délai de 24 heures. Cette exigence ne figure pas dans la ligne directrice B-13. Il s'agit d'une échéance serrée, mais il convient de noter que cette période de 24 heures débute au moment où l'IFF prend connaissance de l'incident ou d'un incident potentiel. Une surveillance efficace de la sécurité, des mesures d'intervention en cas d'incident, un processus de notifications qui détaille les rôles et les responsabilités ainsi qu'un canal de communication ouvert avec le BSIF permettront d'assurer la conformité à cette exigence.

Le cadre de gestion des risques efficace a-t-il permis à l'IFF de cerner les actifs essentiels et les risques propres à l'organisation?

L'IFF sait-elle quelles données sont stockées dans le nuage et comment elles sont protégées?

L'IFF a-t-elle mis à jour son énoncé relatif à la propension au cyberrisque ainsi que les mesures et seuils connexes?

L'IFF a-t-elle effectué plusieurs simulations de cyberincidents réalistes auprès de groupes de différents échelons de l'organisation?

L'IFF effectue-t-elle régulièrement une autoévaluation concernant l'efficacité de sa fonction de cybersécurité? Le BSIF offre un outil d'autoévaluation en matière de cybersécurité. On s'attend à ce que de telles évaluations soient effectuées régulièrement.

KPMG peut assister les IFF dans la gestion des cyberrisques et dans la conformité aux exigences réglementaires, y compris celles de la ligne directrice B-13. Communiquez avec notre équipe pour en savoir plus.