Signalement des incidents liés à la technologie et à la cybersécurité

Propriétés du document

  • Type de publication : Préavis
  • Catégorie : Surveillance
  • Date : janvier 2019
  • Date d’entrée en vigueur : 31 mars 2019

But

En tant que membres d’un secteur essentiel pour l’économie canadienne, les institutions financières fédérales (IFF) doivent réagir promptement et efficacement aux incidents liés à la technologie et à la cybersécurité. Le signalement rapide au BSIF doit être prévu par les politiques et les procédures mises en place par les IFF pour traiter de ces incidents dans le cadre de leurs activités.

Le signalement des incidents peut aider à repérer les points qu’une IFF ou l’ensemble du secteur pourraient améliorer pour prévenir de tels incidents de façon proactive ou augmenter leur résilience dans les cas où un incident s’est produit.

Portée et définition

Le présent préavis s’applique à toutes les IFF et décrit les exigences du BSIF en matière de signalement des incidents. Il ne comprend pas de conseils sur les attentes du BSIF à l’égard d’un cadre de gestion des incidents. Pour de tels conseils, se reporter à la note d’information du BSIF intitulée Conseils sur l’auto-évaluation en matière de cybersécurité.

Dans le cadre du présent préavis, un incident lié à la technologie ou à la cybersécurité s’entend d’un incident qui pourrait avoir des conséquences importantes sur les activités habituelles d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements.

Les incidents liés à la technologie ou à la cybersécurité pour lesquels l’IFF estime que le niveau de gravité est élevé ou critique doivent être signalés au BSIF.

Critères de signalement

Les IFF doivent définir l’importance relative des incidents dans leur cadre de gestion des incidents. En cas de doute au sujet de l’importance relative des incidents, les IFF doivent consulter leur chargé de surveillance.

Un incident à signaler peut présenter n’importe laquelle des caractéristiques suivantes :

  • Répercussions opérationnelles importantes sur les systèmes d’information ou les données critiques;
  • Répercussions importantes sur les données opérationnelles ou sur les données des clients de l’IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ces données;
  • Répercussions opérationnelles importantes pour les utilisateurs à l’interne, lesquelles entraînent à leur tour des conséquences importantes pour les clients ou sur les activités opérationnelles;
  • Niveaux importants de perturbation des systèmes et des services;
  • Perturbations prolongées des systèmes et activités essentiels;  
  • Nombre important ou croissant de clients externes touchés;
  • Répercussions négatives imminentes sur la réputation (p. ex., divulgation publique/médiatique);
  • Répercussions importantes sur les échéances/obligations cruciales rattachées aux systèmes de règlement ou de paiement des marchés financiers (p. ex., infrastructure des marchés financiers);
  • Répercussions importantes sur un tiers essentiel pour l’IFF;
  • Conséquences importantes pour les autres IFF ou pour le système financier canadien;
  • Un incident concernant une IFF a été signalé au Commissariat à la protection de la vie privée du Canada ou aux organismes de réglementation canadiens/étrangers.

Exigences de signalement initial

Les IFF doivent aviser leur chargé de surveillance le plus rapidement possible, et au plus tard 72 heures après avoir déterminé qu’un incident lié à la technologie ou à la cybersécurité répondait aux caractéristiques énoncées dans le présent préavis.

En plus d’informer leur chargé de surveillance, les IFF doivent envoyer un courriel de notification à l’adresse TRD@osfi-bsif.gc.ca. Les signalements d’incidents liés à la technologie ou à la cybersécurité au BSIF se font par écrit (sur support électronique ou papier). Si des renseignements importants ne sont pas disponibles au moment du signalement initial, l’IFF doit indiquer que « l’information n’est pas encore disponible », auquel cas elle doit fournir les meilleures estimations possible et tout autre renseignement disponible à ce moment.

Voici les éléments à signaler :

  • Date et heure où l’incident a été classifié important;
  • Date et heure/période où l’incident est survenu;
  • Niveau de criticité de l’incident;
  • Type d’incident (p. ex., attaque par DDoS, maliciel, violation de données, extorsion);
  • Description de l’incident comprenant :
    • les répercussions directes et indirectes connues (quantifiables ou non), notamment sur la protection des renseignements personnels et des renseignements financiers; 
    • les répercussions connues sur un ou plusieurs segments ou secteurs d’activité, unités opérationnelles ou régions, y compris tout tiers en cause;  
    • si l’incident est survenu chez un tiers ou a une incidence sur les services d’un tiers;
    • le nombre de clients touchés. 
  • Principale méthode utilisée pour détecter l’incident; 
  • État actuel de la situation;
  • Date du signalement de l’incident à la haute direction ou au conseil d’administration;
  • Mesures d’atténuation prises ou prévues;
  • Cause première connue ou soupçonnée;
  • Nom et coordonnées de la personne responsable de la gestion de l’incident au sein de l’IFF et de la personne-ressource assurant la liaison avec le BSIF. 

Exigences en vue des signalements subséquents

Le BSIF s’attend à ce que les IFF fassent périodiquement le point (p. ex., tous les jours) à mesure que de nouveaux renseignements deviennent disponibles, et ce, jusqu’à ce que tous les renseignements importants au sujet de l’incident aient été fournis.

Selon la criticité, les conséquences de l’incident et la vitesse à laquelle il se matérialise, le chargé de surveillance peut demander à une IFF de modifier la méthode employée pour faire les mises à jour subséquentes ainsi que leur fréquence.

Jusqu’à ce que l’incident soit maîtrisé ou résolu, le BSIF s’attend à ce que les IFF fassent le point sur la situation, y compris au sujet des mesures et des plans de redressement à court et à long terme. 

Une fois l’incident maîtrisé et à la suite de la reprise des activités et de la fermeture du dossier, l’IFF doit rendre compte au BSIF de son analyse post-incident et des leçons apprises. 

Annexe

Le tableau qui suit donne des exemples d’incidents à signaler, mais ne doit pas être considéré comme une liste exhaustive.

Scénario Description du scénario Conséquences
Cyberattaque Attaque robotisée de prise de contrôle des comptes ciblant les services en ligne à l’aide de nouvelles techniques; les moyens de défense actuels n’empêchent pas la compromission des comptes clients

Tentatives nombreuses en peu de temps

Les contrôles en place ne bloquent pas l’attaque

Les clients sont privés d’accès

Indication que les comptes ont été compromis

Disponibilité et rétablissement des services Défaillance technologique au centre de données

Un service en ligne essentiel est en panne et les mesures de contournement ont échoué

Perturbation prolongée des systèmes et des activités critiques

Compromission liée à un tiers Les données ou systèmes utilisés par un tiers important ont été compromis; l’IFF est avisée que le tiers fait enquête

Il s’agit d’un tiers désigné comme étant important pour l’IFF

Des répercussions importantes sur les données de l’IFF sont possibles

Menace d’extorsion L’IFF a reçu un message d’extorsion qui laisse entendre qu’une cyberattaque sera commise (p. ex., attaque par DDoS pour obtenir des Bitcoins)

La menace est crédible

Probabilité de perturbation des services en ligne critiques