Autoévaluation en matière de cybersécurité

Documentation

Propriétés du document

  • Type de publication : Note d'information
  • Date : Le 13 août 2021
  • Destinataires : Institutions financières fédérales

Le BSIF a bien pris acte de la nouvelle réalité des cyberattaques, qui se font de plus en plus fréquentes, complexes et graves, et de ce fait, entraînent un profil de risque plus élevé pour les entreprises partout dans le monde, notamment les institutions financières fédérales (IFF) au Canada.

Le BSIF a donc publié un questionnaire d'autoévaluation en matière de cybersécurité en octobre 2013 pour aider les institutions à évaluer leur niveau de préparation face aux cyberrisques. Au fil du temps, ce questionnaire a effectivement contribué à ce que les IFF améliorent leur position en matière de cybersécurité, mais la numérisation des services financiers s'est traduite par l'augmentation des points d'entrée et des surfaces d'attaque dans l'environnement technologique des institutions. Ainsi, ces dernières continuent d'être particulièrement exposées aux cyberrisques. Par conséquent, le BSIF a peaufiné son questionnaire d'autoévaluation en matière de cybersécurité pour qu'il reflète mieux le nouveau paysage de ces risques, comme le commandent d'ailleurs ses priorités stratégiques.

Le BSIF continue d'encourager les IFF à remplir l'autoévaluation, ou à utiliser des outils similaires, pour évaluer leur niveau actuel de préparation et pour élaborer et maintenir des pratiques de cybersécurité efficaces. Comme l'indique le plan à court terme du BSIF relatif aux politiques prudentielles, le BSIF publiera de nouvelles consignes sur les saines pratiques de gestion du risque lié aux technologies et du cyberrisque. En sus des consignes en cours d’élaboration, le questionnaire d'autoévaluation sera mis à jour régulièrement pour prendre en compte le contexte courant des cyberrisques.

Pour toute question sur le sujet, s'adresser à Mohamad Al-Bustami, directeur général, Division du risque lié aux technologies par courriel à l'adresse TRD@osfi-bsif.gc.ca.

Directeur général,
Mohamad Al-Bustami

Explication des niveaux de notation

Les niveaux de notation du cyberrisque mentionnés dans cet outil d'autoévaluation visent à aider l'IFF à évaluer la maturité des contrôles de sécurité individuels (dans la colonne « Contrôle »). Ces énoncés de contrôle portent sur les pratiques exemplaires, le cyberrisque et les processus connexes, la documentation, les attributions, les technologies et d'autres mesures de protection de la cybersécurité, qui sont tous importants pour assurer la rigueur de la cybersécurité et pour concevoir un programme stratégique de cybersécurité de l'IFF.

Par conséquent, le niveau de maturité que l'IFF attribue à chaque contrôle vise à estimer la maturité de ce contrôle en fonction des niveaux différenciés.

Ces cotes sont ensuite applicables pour mettre en évidence les contrôles qui arrivent à maturité efficacement, ainsi que ceux qui nécessiteront plus d'attention (c.-à-d. pour corriger les lacunes). Les niveaux de maturité sont également instructifs, lors des discussions avec le BSIF, et pour la planification future de la cybersécurité au sein de l'IFF.

À cet égard, le BSIF a établi cinq niveaux de maturité de la cybersécurité (1 à 5). Le niveau « 0 » est techniquement un sixième niveau, mais il indique seulement l'absence de progrès à l'égard du contrôle évalué.

Nota : Pour la plupart des contrôles de cybersécurité énumérés, il y aura des interdépendances avec d'autres contrôles (p. ex., l'évaluation du risque, mise en œuvre par le groupe de la cybersécurité, sera liée à la gestion des risques, comme le prévoient les gestionnaires des risques, y compris la haute direction). Donc, dans les énoncés qui suivent, le terme « contrôles » est parfois utilisé, bien que lorsque l'IFF effectue cette évaluation et estime les cotes d'échéance, ces cotes doivent être attribuées à chaque contrôle, un à la fois plutôt que collectivement.

Autoévaluation en matière de cybersécurité – BSIF

Orientation Numéro Catégorie Contrôle Cote Justification des cotes des IFF et notes Références fournies par les IFF
Gouvernance1Planification et stratégieL'IFF a publié une stratégie de cyberrisque harmonisée avec les stratégies technologiques et opérationnelles.
2L'IFF dispose d'un cadre de cyberrisque établi (p. ex. un ensemble complet d'éléments, y compris les politiques, les normes, les attributions, les processus de gestion du risque, la taxonomie des risques, la propension à prendre des risques et les menaces et technologies émergentes) à l'appui de la stratégie de cyberrisque et de la gestion continue des menaces, des risques et des incidents.
3L'IFF passe régulièrement en revue la stratégie et le cadre de cyberrisque pour s'assurer de la conformité aux exigences juridiques et réglementaires.
4L'IFF tient compte des exigences de conformité en matière de cyberrisque, des risques cernés, des menaces actuelles et émergentes et des répercussions potentielles des incidents sur les activités et les services, à titre d'intrants de la planification et de la priorisation des projets, programmes et budgets liés au cyberrisque.
5L'IFF a nommé un cadre responsable de la stratégie de cyberrisque, du cadre de cyberrisque et de la sensibilisation et des connaissances en matière de cyberrisque au niveau de la direction.
6PolitiquesL'IFF dispose de politiques documentées sur le cyberrisque pour expliquer les attributions, les règles et les contraintes du personnel et des entrepreneurs ainsi que les sanctions possibles en cas de non-conformité.
7Les attributions de chacune des trois lignes de défense et d'autres intervenants sont clairement décrites dans le cadre de cyberrisque.
8Gestion du risqueDes indicateurs de risque et de rendement clés ainsi que des seuils ont été établis pour les principaux cyberrisques et contrôles de l'IFF. Les indicateurs de risque doivent correspondre à la propension à prendre des cyberrisques énoncée dans le cadre du cyberrisque.
9Les cyberrisques de l'organisation et ses programmes ou clients sont régulièrement examinés, acheminés aux échelons supérieurs et expliqués aux cadres appropriés ou à la haute direction, et classés par ordre de priorité aux fins d'atténuation.
10La deuxième ligne de défense effectue régulièrement un examen indépendant des diverses évaluations du cyberrisque et des autres activités de contrôle menées par la première ligne de défense.
11L'IFF veille à ce que la vérification des antécédents du personnel/des entrepreneurs et des fournisseurs ait été effectuée en fonction de la sensibilité et du cyberrisque des actifs de l'IFF qui sont gérés.
12L'IFF a mis en place un processus officiel d'acceptation du risque qui est mesuré et suivi et qui fait l'objet de rapports.
Identification13Environnement opérationnelL'IFF a affecté des ressources suffisantes et compétentes aux programmes, systèmes, rôles et services liés au cyberrisque.
14L'IFF a recensé ses actifs technologiques essentiels et a mis en place des contrôles appropriés pour en assurer la confidentialité, l'intégrité et la disponibilité. Les contrôles sont régulièrement examinés et testés.
15L'IFF veille à ce que les contrats d'impartition et de services externes (p. ex. fournisseurs, fournisseurs de services infonuagiques) énoncent les responsabilités des vendeurs et des fournisseurs de services en matière de sécurité des renseignements de l'IFF.
16Gestion de l'actifL'IFF tient une base de données de gestion de la configuration (BDGC) ou un fichier semblable pour documenter et suivre les configurations des composantes de TI (matériel, logiciels, adresses réseau, systèmes de sécurité, dépendances, etc.).
17Les actifs et l'information de TI de l'IFF sont classés et gérés selon un système de classement.
18L'IFF a établi des procédures pour la disposition ou la destruction des actifs de TI.
19Évaluation du risqueL'IFF évalue les menaces et les risques dès les premières étapes des nouvelles initiatives ou des nouveaux projets ou avant que des changements ne soient apportés aux systèmes ou données existants, afin de cerner et de prioriser les menaces, les risques et les options de correction.
20L'IFF doit évaluer périodiquement les risques encourus par le recours à de tiers fournisseurs; il faut pour cela examiner et évaluer la robustesse, l'actualité et l'exhaustivité des pratiques et des contrôles de cyberrisque du fournisseur.
21L'IFF effectue régulièrement des tests de pénétration du réseau, de l'environnement infonuagique et de tous les systèmes de TI essentiels pour cerner les lacunes en matière de sécurité et affirmer les points forts.
Défense22Gestion de l'identité et contrôle de l'accès L'IFF applique un modèle uniforme de contrôle de l'accès (p. ex., contrôle de l'accès fondé sur les fonctions) à tous les systèmes essentiels.
23L'IFF exige que toutes les personnes, tous les systèmes ou tous les services soient identifiés, authentifiés et autorisés avant d'accorder l'accès à ses systèmes, services ou données.
24L'IFF applique systématiquement le principe du « droit d'accès minimal », de sorte que les autorisations et l'accès accordés aux personnes, aux systèmes ou aux services authentifiés sont suffisants pour répondre à ses besoins opérationnels, tout au plus.
25L'IFF veille à ce que les autorisations soient révoquées et que les comptes ou connexions actifs soient résiliés lorsqu'ils ne sont plus nécessaires.
26L'IFF soumet l'accès aux systèmes essentiels et l'accès à distance à son réseau à l'authentification multifactorielle.
27L'IFF chiffre et stocke de façon sécuritaire les justificatifs d'identité et de contrôle d'accès (mots de passe, etc.) séparément des autres données.
28Les justificatifs d'identité des comptes privilégiés sont gérés, surveillés et sécurisés.
29Sécurité du réseau L'IFF suit un modèle de sécurité positif, ne permettant que le trafic prédéfini et autorisé (adresses IP, protocoles, ports, etc.).
30L'IFF définit des zones de réseau logiques et applique des contrôles pour séparer et limiter ou bloquer le trafic entre ces zones afin de faciliter le suivi, la gestion et la sécurisation des actifs dans ces zones.
31L'IFF place tous les systèmes et services connectés à Internet dans une DMZ ou une zone similaire, isolée et étroitement surveillée, avec une connexion à l'environnement bien sécurisée et limitée.
32L'IFF participe continuellement à la chasse aux menaces (p. ex., en utilisant des techniques manuelles et des outils d'apprentissage automatique) pour repérer et isoler de façon proactive les menaces avancées qui ne peuvent pas être détectées par les outils automatisés.
33L'IFF met en œuvre des contrôles essentiels de sécurité du réseau et de gestion du trafic afin qu'ils soient tolérants aux pannes et qu'ils fassent défaut de façon sécuritaire, de sorte que la sécurité ne soit pas compromise en cas de défaillance, de panne ou d'incident de sécurité.
34L'IFF limite les options d'accès et de connexion à distance au personnel autorisé, y compris les fournisseurs, et sécurise toutes les sessions à distance (chiffrement des sessions, authentification multifactorielle, durée limitée des sessions, etc.).
35Sécurité des donnéesL'IFF a intégré des contrôles de prévention de la perte de données (PPD) à tous les actifs technologiques pour les données inactives, les données en cours d'utilisation et les données en transit afin de repérer les tentatives d'exfiltration non autorisée de données et de limiter ou d'arrêter automatiquement la perte de données qui s'y rapporte.
36L'IFF évalue toutes les interfaces de données externes (p. ex., les interfaces de programmation d'applications) pour déterminer si les contrôles de sécurité mis en œuvre conviennent à la sensibilité des données.
37L'IFF utilise des outils automatisés pour examiner toutes les données (y compris le code source et les données de configuration) avant de les intégrer à ses systèmes, afin de repérer et de mettre en quarantaine le code exécutable non autorisé (p. ex. les maliciels) et les données potentiellement préjudiciables.
38L'IFF chiffre toutes les données à transporter physiquement à l'interne ou à l'externe (p. ex., sur un support de stockage portatif ou amovible) et limite ce transport aux seules personnes autorisées.
39Les solutions de « travail à domicile » du personnel de l'IFF sont mises en œuvre au moyen de contrôles finaux rigoureux (p. ex., dans les ordinateurs portatifs ou autres appareils mobiles) afin de maintenir une sécurité rigoureuse.
40L'IFF effectue des sauvegardes régulières et automatisées de ses données.
41Gestion des vulnérabilités L'IFF a publié et mis en œuvre un programme de gestion des vulnérabilités et des correctifs qui présente des règles et des directives pour les attributions, le cycle de vie de gestion des vulnérabilités de l'IFF, la priorisation des vulnérabilités (p. ex. en fonction du risque), les calendriers de correction, l'approbation des exceptions/exemptions, la surveillance et la production de rapports et les outils à utiliser.
42L'IFF a recensé des sources fiables de renseignements sur la vulnérabilité et s'abonne à des services reconnus et fiables de signalement des vulnérabilités.
43L'IFF effectue régulièrement des analyses de vulnérabilité pour repérer de nouvelles vulnérabilités.
44L'IFF établit l'ordre de priorité des vulnérabilités cernées aux fins de correction, en fonction du risque et de l'incidence potentielle qu'elles représentent.
45L'IFF applique un processus de gestion des exceptions et des exemptions selon lequel elle documente et exige les approbations appropriées de la direction pour les retards ou les exceptions à la correction des vulnérabilités (p. ex., au moyen de l'application de correctifs du fournisseur).
46L'IFF vérifie et teste les correctifs de vulnérabilité avant leur déploiement général dans l'environnement opérationnel.
47L'IFF trouve des options pour défaire la correction des vulnérabilités (p. ex., en annulant les correctifs) en cas d'urgence avant le déploiement général.
48L'IFF a établi un calendrier d'application des correctifs en fonction du risque.
49Gestion du changement et de la configuration L'IFF a créé, documenté et mis en œuvre des configurations normalisées et sécurisées pour tout le matériel et tous les logiciels (p. ex., systèmes d'exploitation, VM, image du bureau).
50L'IFF met à rude épreuve tous les systèmes et réseaux essentiels.
51L'IFF applique les politiques de sécurité en utilisant des outils automatisés pour repérer et bloquer l'utilisation de logiciels et de matériel non autorisés dans tous ses systèmes.
52L'IFF a documenté et mis en œuvre un processus de gestion du changement pour cerner, évaluer, approuver et documenter officiellement les changements de configuration.
Détection53Suivi et consignation L'IFF surveille tous les réseaux, sous-réseaux et interfaces pour repérer les événements de sécurité de l'information comme les tentatives de connexion non autorisée, les tendances de trafic inhabituelles ou suspectes ou l'utilisation de ports et de protocoles non autorisés.
54L'IFF a établi des exigences en matière de collecte et de conservation des registres pour tous les actifs de TI.
55L'IFF utilise des outils automatisés (p. ex., SIEM ou Log Analytics) pour recueillir, regrouper et analyser des données sur les événements en temps réel ou presque (p. ex., une activité anormale) et prévenir le personnel selon les cas d'utilisation et les règles établies.
56Les processus de surveillance et de gestion du réseau de l'IFF sont intégrés aux processus d'intervention en cas d'incident, ce qui permet de signaler les incidents prioritaires aux échelons supérieurs, de les communiquer et de les résoudre rapidement et de manière officielle.
57Les registres des IFF et des fournisseurs de services et les documents connexes relatifs aux événements de sécurité sont chiffrés, horodatés et archivés pour consultation ultérieure. Les registres des événements sont conservés dans un endroit sécurisé.
58Analyse comparative, examens et évaluationsL'IFF effectue des évaluations continues et périodiques (des processus de cyberrisque, p. ex.) en consultant cadres de sécurité externes, pratiques exemplaires et vulnérabilités émergentes afin de cerner les lacunes de contrôle dans l'environnement de l'IFF, les possibilités et les recommandations d'amélioration.
59L'IFF effectue des examens continus pour déterminer la conformité à la politique.
60L'IFF procède régulièrement à des examens automatisés de l'infrastructure de TI (p. ex., points finaux) pour vérifier que les contrôles de sécurité sont configurés et fonctionnent comme prévu.
61L'IFF communique les résultats de l'évaluation de sécurité et de l'audit aux membres concernés de la direction et au(x) dirigeant(s) responsable(s) du cadre de cyberrisque.
62Mise au point de logiciels sécurisésL'IFF considère la sécurité et l'adoption de pratiques exemplaires en matière de sécurité comme une priorité dans le cycle de vie du développement des logiciels.
63L'IFF déploie tous les logiciels, y compris les produits commerciaux, dans un environnement de test distinct et effectue les tests et les analyses de sécurité pertinents avant le déploiement général.
64L'IFF vérifie que le code de sources externes provient d'une source réputée et reconnue (p. ex., en examinant la signature numérique ou la fonction de hachage).
Réponse65Gestion des incidents La norme de gestion des incidents de l'IFF est conçue pour réagir rapidement à ces derniers.
66L'IFF a établi une réponse « à l'échelle de l'organisation », ce qui comprend, sans s'y limiter, l'équipe du cyberrisque, l'équipe des TI, le responsable opérationnel, les services juridiques, les responsables de la protection de la vie privée et des communications (affaires publiques) et d'autres intervenants au besoin, et elle a élaboré des manuels et des guides selon les besoins.
67L'IFF teste régulièrement la norme de gestion des incidents.
68L'IFF dispose d'un plan de communication établi qui comprend, sans s'y limiter, les clients, les partenaires commerciaux, les autorités provinciales ou fédérales de réglementation ou de sécurité, les organismes d'application de la loi, le personnel interne et d'autres intervenants, le cas échéant.
69L'IFF effectue une analyse postérieure à l'incident pour déterminer la cause fondamentale, les vulnérabilités et les solutions et pour documenter les leçons apprises aux fins de consultation future.
Rétablissement70Mise à l'essai et planificationL'IFF met régulièrement à l'essai les sauvegardes de données pour en vérifier l'intégrité et confirmer que les données peuvent être restaurées au besoin.
71L'IFF élabore et met à l'essai des scénarios pour assurer le rétablissement en temps opportun des données, des systèmes ou des services touchés par les cyberincidents.
72L'IFF dispose d'un plan de reprise après sinistre ou de continuité des activités à exécuter en cas d'important incident de cyberrisque.
Apprentissage73Amélioration continueL'IFF examine régulièrement son environnement de TI et atténue les risques liés au matériel et aux logiciels de soutien / en fin de vie.
74L'IFF modélise les menaces pour améliorer la cyberrésilience.
75L'IFF effectue régulièrement des exercices de simulation (p. ex. rançongiciel, DDOS) pour valider les plans d'intervention et familiariser les intervenants avec leurs attributions.
76L'IFF a recours à des sources d'information fiables pour comprendre les menaces émergentes, les tendances, les vulnérabilités et les pratiques exemplaires en matière de cyberrisque.
77L'IFF se tient au courant des technologies nouvelles et émergentes et de leur incidence sur le cyberrisque.
78Éducation en matière de sécurité L'IFF dispose d'un plan d'éducation et de sensibilisation au cyberrisque pour ses employés, ses clients et d'autres intervenants.
79L'IFF offre la formation nécessaire et appropriée au personnel affecté au cyberrisque afin de maintenir ses connaissances et compétences à jour à l'appui de ses attributions.
80L'IFF offre à tous ses employés une formation continue de sensibilisation à la sécurité afin qu'ils soient conscients de leurs attributions en matière de cyberrisque, de les aider à cerner les menaces et d'expliquer les pratiques exemplaires en matière de cyberrisque.
81Les cadres supérieurs et la haute direction de l'IFF sont régulièrement informés des tendances du cyberrisque, des risques cernés, des incidents, des initiatives prévues en matière de cyberrisque et des répercussions potentielles sur l'organisation.
Fournisseurs tiers de technologie82Gouvernance et gestionL'IFF a cerné et évalué le cyberrisque découlant de ses fournisseurs tierse. L'évaluation du risque est périodiquement actualisée et permet de déterminer la fréquence et l'intensité des activités de gestion du risque (p. ex., diligence raisonnable, obligations contractuelles, surveillance, production de rapports et assurance).
83L'IFF veille à ce que les contrôles du cyberrisque mis en œuvre par des tiers fournisseurs soient adaptés à la sensibilité de ses données et soient aussi robustes et complets que ceux qu'elle met en œuvre sur place.
84L'IFF a élaboré des stratégies de sortie pour les tiers fournisseurs essentiels qui décrivent les scénarios possibles de cyberrisque, les déclencheurs et les solutions de rechange élaborées et évaluées pour en déterminer la viabilité.
85L'IFF obtient périodiquement l'assurance indépendante des contrôles de tiers au moyen de diverses méthodes comme les attestations d'audit, les examens d'audit interne, les audits groupés, etc.
86L'IFF veille à ce que le tiers fournisseur ait établi des guides d'intervention en cas d'incident, y compris des procédures indiquant quand et comment l'IFF sera informée de toute incidence sur ses systèmes, services ou données.
87L'IFF vérifie que les tiers fournisseurs suppriment complètement toutes les données de l'IFF, y compris les copies de sauvegarde, lorsqu'elles ne sont plus requises.
88Fournisseurs de services infonuagiquesL'IFF dispose d'une stratégie documentée de retrait de l'infonuagique qui définit les processus et les attributions liés au cyberrisque à mettre en œuvre si elle met fin aux services d'un fournisseur de services infonuagiques (FSI) (p. ex., pour passer à un autre FSI).
89L'IFF veille à ce que toutes les attributions en matière de cyberrisque (p. ex., pour la mise en œuvre et la gestion des contrôles) soient clairement documentées et acceptées par toutes les parties lors de la mise en œuvre des services infonuagiques (IaaS, PaaS et SaaS).
90Des processus centralisés de consignation et de suivi sont mis en œuvre pour tous les actifs infonuagiques et permettent d'effectuer des analyses consolidées et de produire des rapports sur la posture de sécurité dans toutes les plateformes.