Réponses du BSIF aux commentaires reçus dans le cadre de la consultation sur la version à l’étude de la ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque

Propriétés du document

  • Type de publication : Lettre
  • Date : 9 juin 2022
  • Destinataires : Toutes les institutions financières fédérales

Le Bureau du surintendant des institutions financières (BSIF) publie aujourd’hui ses réponses aux commentaires reçus dans le cadre de la consultation de trois mois sur la version à l’étude de la ligne directrice B-13. La version finale sera publiée au cours des prochaines semaines et comportera plusieurs ajustements pour tenir compte des commentaires formulés lors de la consultation. La ligne directrice doit être lue selon un point de vue axé sur le risque qui permet aux institutions financières fédérales (IFF) d’être concurrentielles et de tirer pleinement parti de l’innovation numérique tout en assurant une solide gestion du risque lié aux technologies.

Comme mentionné ci-après, la version finale de la ligne directrice B-13 est une nouvelle mouture moins normative, simplifiée, et qui comprend des définitions et des attentes plus claires. Lors de l’élaboration de cette ligne directrice, le BSIF a également tenu compte des commentaires transmis par les parties intéressées en réponse à la publication à l’automne 2020 de son document de travail intitulé Renforcer la résilience du secteur financier dans un monde numérique.

Réponses aux commentaires reçus dans le cadre de la consultation

RéponsesConsultation sur la version à l’étude de la ligne directrice B-13Version finale de la ligne directrice B-13
Moins normativeLes instances interrogées ont recensé des attentes et des exemples précis jugés trop normatifs dans certains domainesMoins d’attentes et d’exemples normatifs, en insistant davantage sur une approche fondée sur le risque
SimplifiéeCinq domainesTrois domaines
Définitions plus clairesDéfinitions distinctes pour les notions de « risque lié aux technologies » et de « cyberrisque »Définition unique pour la notion de « risque lié aux technologies », qui englobe celle du « cyberrisque »
Attentes plus clairesLes instances ont recensé des attentes qui se chevauchent et portent à confusion dans certains domainesAttentes consolidées et plus claires

Moins normative

De nombreuses instances ont constaté que même si les objectifs de résultat et les principes sont justifiés, les attentes et les exemples sous-jacents sont trop normatifs dans certains domaines, y compris le paragraphe 2.2.3 intitulé « L’inventaire comprend tous les actifs technologiques qui soutiennent les activités ».

En réponse, le BSIF supprime plusieurs attentes et exemples, y compris le paragraphe 2.2.3. Il ajoute par ailleurs du texte pour insister sur le fait qu’il adopte une approche fondée sur le risque, soulignant notamment que les attentes et les exemples devraient toujours tenir compte des risques et des vulnérabilités spécifiques, qui varient selon la taille de l’IFF, la nature, la portée et la complexité de ses activités et son profil de risque.

Simplifiée

Plusieurs instances ont laissé entendre que les attentes à l’égard des tiers devraient faire partie de la version à l’étude de la ligne directrice B-10, Gestion du risque lié aux tiers. Elles ont également exprimé une préoccupation particulière concernant la manière dont le BSIF entend harmoniser ses attentes en matière de gestion des risques non financiers dans ses prochaines lignes directrices, nouvelles et révisées, traitant d’autres domaines (B-13, B-10 et E-21 sur le risque opérationnel).

En réponse, le BSIF simplifie la version finale de la ligne directrice B-13 afin de mettre l’accent sur trois domaines principaux : Gouvernance et gestion du risque, Activités et résilience technologiques, et Cybersécurité. Cette réorganisation a été rendue possible par l’intégration des attentes à l’égard des tiers dans la version à l’étude de la ligne directrice B-10, Gestion du risque lié aux tiers, actuellement soumise à une consultation de trois mois qui prendra fin le 27 juillet 2022. De plus, les attentes en matière de résilience technologique font l’objet d’une consolidation et d’une simplification, et sont regroupées sous le domaine intitulé Activités et résilience technologiques.

Définitions plus claires

Certaines instances ont suggéré au BSIF d’adopter une définition unique pour la notion de « risque lié aux technologies », qui englobe celle du « cyberrisque », afin d’établir clairement que le cyberrisque découle du risque lié aux technologies. Elles ont également recommandé d’adopter les définitions établies par les organismes de normalisation internationaux pour les termes techniques, ou de préciser que les IFF peuvent y recourir.

En réponse, le BSIF clarifie les définitions de la version finale de la ligne directrice B-13 en adoptant une définition unique pour la notion de « risque lié aux technologies », qui englobe celle du « cyberrisque ». De plus, il souligne que les définitions de la ligne directrice B-13 sont fondées sur celles des organismes de normalisation reconnus. Les IFF peuvent donc recourir aux définitions établies par ces organismes pour les termes techniques employés dans la ligne directrice.

Attentes plus claires

De nombreuses instances ont constaté que même si les objectifs de résultat et les principes sont clairs, les attentes et les exemples sous-jacents portent à confusion ou se chevauchent dans certains domaines.

En réponse, le BSIF précise les attentes dans la version finale de la ligne directrice B-13, en plus d’en supprimer ou de les consolider, s’il y a lieu.