Gestion du risque lié aux technologies et du cyberrisque

Propriétés du document

  • Type de publication: Projet de ligne directrice
  • Catégorie : Saines pratiques commerciales et limites prudentielles
  • Date : Novembre 2021
  • No : B-13

A. Objet et portée

La présente ligne directrice établit les attentes du BSIF en matière de gestion du risque lié aux technologies et du cyberrisque; elle s’applique à toutes les institutions financières fédérales (IFF). Ces attentes visent à aider les IFF à être plus résilientes face au risque lié aux technologies et au cyberrisque.

Les IFF doivent se conformer aux attentes énoncées dans la présente ligne directrice en fonction de leur taille, de la nature, de la portée et de la complexité de leurs activités et de leur profil de risque. Les attentes du BSIF sont neutres sur le plan technologique étant donné que les IFF doivent être concurrentielles et tirer pleinement parti de l’innovation numérique tout en maintenant une posture technologique solide.

A.1 Définitions

 Le « risque lié aux technologies » s’entend du risque découlant de l’insuffisance, de la perturbation, de la défaillance, de la perte ou de l’utilisation malveillante des systèmes, de l’infrastructure, des personnes ou des processus de technologie de l’information qui comblent et appuient les besoins opérationnels, pouvant entraîner des pertes financières.

Le « cyberrisque » désigne le risque de perte financière, de perturbation opérationnelle ou d’atteinte à la réputation découlant de l’accès non autorisé, de l’utilisation, malveillante ou non, de la défaillance, de la divulgation, de la perturbation, de la modification ou de la destruction des systèmes de technologie de l’information d’une institution ou des données qu’ils contiennent.

Un « actif technologique » est un bien corporel (matériel, infrastructure, etc.) ou incorporel (logiciel, données, information, etc.) qui doit être protégé et qui permet la prestation de services technologiques.

Aux fins de la présente ligne directrice, la « technologie » désigne la « technologie de l’information » (TI). Le terme « cybersécurité » fait également référence à la « sécurité de l’information ». Les IFF peuvent recourir à leurs propres définitions ou à celles publiées par des organismes de normalisation reconnus.

A.2 Structure

A.2.1  La présente ligne directrice est organisée en cinq domaines. Chacun d’eux énonce les principales composantes d’une saine gestion du risque lié aux technologies et du cyberrisque.

  • Gouvernance et gestion du risque – Énonce les attentes du BSIF au chapitre de la responsabilisation formelle, du leadership, de la structure organisationnelle et du cadre qui permettent la gestion du risque et la supervision de la technologie et de la cybersécurité.
  • Activités technologiques – Énonce les attentes du BSIF en matière de gestion et de supervision des risques liés à la conception, à la mise en œuvre et à la gestion des actifs et services technologiques.
  • Cybersécurité – Énonce les attentes du BSIF en matière de gestion et de supervision du cyberrisque.
  • Risque lié aux technologies et cyberrisque des fournisseurs tiers – Énonce les attentes à l’égard des IFF qui collaborent avec des fournisseurs tiers pour obtenir des services technologiques et cybernétiques ou d’autres services qui donnent lieu à un cyberrisque ou risque lié aux technologies, poussant ainsi plus loin les attentes des lignes directrices existantes du BSIF sur l’impartition et le risque lié aux tiers.
  • Résilience technologique – Énonce les attentes du BSIF quant à la capacité de fournir des services technologiques en dépit de la perturbation opérationnelle.

 

Version textuelle - Domaines de la saine gestion du risque lié aux technologies et du cyberrisque

Domaines de la saine gestion du risque lié aux technologies et du cyberrisque

  1. Gouvernance et gestion du risque
  2. Activités technologiques
  3. Cybersécurité
  4. Risque lié aux technologies et cyberrisque des fournisseurs tiers
  5. Résilience technologique

Plus grande résilience face au risque lié aux technologies et au cyberrisque

A.3 Résultats

A.3.1  Chacun des cinq domaines de la présente ligne directrice correspond à un résultat que l’on souhaite voir les IFF obtenir en gérant le risque. Ces résultats contribuent au développement de la résilience des IFF face au risque lié aux technologies et au cyberrisque.

 

Version textuelle - Résultats
  1. La gouvernance du risque lié aux technologies et du cyberrisque repose sur des responsabilités et des structures claires ainsi que sur des stratégies et des cadres détaillés.
  2. L’environnement technologique est stable, extensible et résilient, et il est tenu à jour et soutenu par des processus d’exploitation technologiques robustes et durables.
  3. La posture technologique est sécuritaire et protège la confidentialité, l’intégrité et la disponibilité des actifs technologiques de l’IFF.
  4. Les technologies et activités cybernétiques des fournisseurs tiers sont fiables et sécuritaires.
  5. Les services technologiques sont fournis comme prévu en cas de perturbation.

A.4 Consignes et renseignements connexes

A.4.1  Les meilleures pratiques en matière de technologie et de cybersécurité sont dynamiques. Le risque lié aux technologies et le cyberrisque recoupent également d’autres secteurs de risque. Il est donc conseillé aux IFF de lire la présente ligne directrice en parallèle avec d’autres consignes, outils et communications de surveillance du BSIF, ainsi qu’avec les consignes émises par d’autres instances et applicables au contexte opérationnel de l’IFF, dont les textes suivants :

  • Ligne directrice E-21, Gestion du risque opérationnel, du BSIF;
  • Ligne directrice B-10, Impartition d’activités, de fonctions et de méthodes commerciales, du BSIF;
  • Outil Autoévaluation en matière de cybersécurité du BSIF;
  • Préavis Signalement des incidents liés à la technologie et à la cybersécurité, du BSIF;
  • Alertes, avis et autres communications émis par le Centre canadien pour la cybersécurité;
  • Cadres et normes reconnus pour les activités technologiques et la sécurité de l’information.

1. Gouvernance et gestion du risque lié aux technologies et du cyberrisque

Résultat attendu : La gouvernance du risque lié aux technologies et du cyberrisque repose sur des responsabilités et des structures claires ainsi que par des stratégies et des cadres détaillés.

1.1 Responsabilité et structure organisationnelle

Principe 1 : La haute direction devrait confier la responsabilité de la gestion du risque lié aux technologies et du cyberrisque aux cadres supérieurs. Elle doit également veiller à ce qu’une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer le risque lié aux technologies et le cyberrisque à l’échelle de l’IFF.

1.1.1 La responsabilité de la haute direction est établie. Il incombe à la haute direction de diriger tant la sécurité des technologies que la cybersécurité de l’IFF et d’attribuer clairement aux cadres supérieurs la responsabilité de la gouvernance du risque lié aux technologies et du cyberrisque. Les cadres en question peuvent comprendre le chef de la technologie de l’information; le dirigeant principal de la technologie (DPT); le dirigeant principal de l’information (DPI); le chef de la cybersécurité ou le dirigeant principal de la sécurité de l’information (DPSI). Ces postes doivent avoir une stature importante et une visibilité notable dans l’ensemble de l’institution.

1.1.2 Une structure, des ressources et une formation sont fournies. Le BSIF s’attend à ce que l’IFF :

  • établisse une structure organisationnelle de gestion du risque lié aux technologies et du cyberrisque à l’échelle de l’institution, avec des attributions claires, des ressources humaines et financières adéquates et une expertise et une formation appropriées dans le domaine;
  • intègre dans les rangs de la haute direction des personnes ayant une compréhension suffisante du risque lié aux technologies et du cyberrisque;
  • fasse valoir une culture de sensibilisation au risque lié aux technologies et au cyberrisque dans l’ensemble de l’institution.

Veuillez consulter la ligne directrice Gouvernance d’entreprise du BSIF pour connaître les attentes du BSIF à l’égard des conseils d’administration des institutions en ce qui concerne la stratégie d’affaires, la propension à prendre des risques, les politiques opérationnelles et commerciales, ainsi que les politiques de gestion du risque et de gestion de crise.

1.2 Stratégie en matière de risque lié aux technologies et de cyberrisque

Principe 2 : L’IFF doit définir, documenter, approuver et mettre en œuvre un ou plusieurs plans stratégiques en matière de technologie et de cybersécurité. Le ou les plans doivent correspondre à la stratégie d’affaires de l’IFF et établir des buts et des objectifs mesurables qui évoluent en fonction des changements dans l’environnement technologique et cybernétique de l’IFF.

1.2.1 La stratégie est anticipatrice, complète et mesurable. Les plans stratégiques en matière de technologie et de cybersécurité de l’IFF doivent au moins :

  • prévoir les changements éventuels dans l’environnement technologique et cybernétique interne et externe de l’IFF;
  • faire référence aux changements prévus dans l’environnement technologique de l’IFF;
  • décrire clairement les facteurs, les possibilités, les vulnérabilités, les menaces et les mesures pour rendre compte des progrès réalisés par rapport aux objectifs stratégiques;
  • inclure des indicateurs de risque qui sont définis, mesurés, suivis et dont on rend compte;
  • être accompagnés d’outils et de processus qui permettent la mise en œuvre de la stratégie à l’échelle de l’organisation;
  • expliquer comment les activités technologiques et la cybersécurité appuieront la stratégie d’affaires globale.

1.3 Cadre de gestion du risque lié aux technologies et du cyberrisque

Principe 3 : L’IFF doit établir un cadre de gestion du risque lié aux technologies et du cyberrisque. Le cadre doit établir la propension à prendre le risque lié aux technologies et le cyberrisque et définir les processus et exigences qui permettent à l’IFF de cerner, d’évaluer, de gérer et de surveiller le risque lié aux technologies et le cyberrisque et d’en rendre compte.

1.3.1 Le cadre de gestion de ce risque concorde avec le cadre d’entreprise et est en constante amélioration. L’IFF doit établir un cadre de gestion du risque lié aux technologies et du cyberrisque qui concorde avec son cadre de gestion du risque d’entreprise. Le BSIF s’attend à ce que l’IFF examine et corrige régulièrement son cadre de gestion du risque lié aux technologies et du cyberrisque en fonction de la mise en œuvre, de la surveillance et des autres leçons apprises (p. ex., les incidents antérieurs).

1.3.2 Le cadre de gestion du risque saisit les éléments clés. À tout le moins, le cadre de gestion du risque lié aux technologies et du cyberrisque doit établir et régir les éléments suivants de la gestion du risque :

  • la reddition de comptes à l’égard de la gestion du risque lié aux technologies et du cyberrisque, y compris des fonctions de supervision pertinentes;
  • la propension à prendre le risque lié aux technologies et le cyberrisque et la mesure de ces risques (p. ex. limites, seuils et niveaux de tolérance);
  • une taxonomie du risque lié aux technologies et du cyberrisque;
  • les domaines de contrôle de la sécurité des technologies et de la cybersécurité;
  • les politiques, normes et processus régissant tous les domaines du risque lié aux technologies et du cyberrisque, qui sont approuvés, examinés régulièrement et mis en œuvre uniformément à l’échelle de l’organisation;
  • les processus de détermination, d’évaluation, de gestion et de suivi du risque lié aux technologies et du cyberrisque, et de production de rapports à cet égard, ainsi que les processus de gestion des exceptions;
  • la gestion des risques singuliers posés par les menaces émergentes et l’adoption de technologies moins éprouvées;
  • la reddition de comptes auprès de la haute direction sur les mesures, les expositions et les tendances de la propension à prendre le risque lié aux technologies et le cyberrisque afin d’éclairer le profil de risque actuel et émergent de l’IFF.

Veuillez consulter la ligne directrice Gouvernance d’entreprise du BSIF pour connaître les attentes de ce dernier à l’égard des fonctions de supervision des IFF, notamment la gestion du risque, la conformité et l’audit interne.

2. Activités technologiques

Résultat attendu : L’environnement technologique est stable, extensible et résilient, et il est tenu à jour et soutenu par des processus d’exploitation technologiques robustes et durables.

2.1 Architecture technologique

Principe 4 : L’IFF doit mettre en œuvre un cadre d’architecture technologique assorti de processus de soutien pour s’assurer que les solutions sont conçues conformément aux exigences opérationnelles, technologiques et de sécurité.

2.1.1 Le cadre d’architecture permet de s’assurer que la technologie répond aux besoins opérationnels. L’IFF doit établir un cadre réunissant les principes nécessaires à la gouvernance, à la gestion, à l’évolution et à la mise en œuvre uniforme de l’architecture des TI à l’échelle de l’institution à l’appui des objectifs et des exigences stratégiques de l’entreprise en matière de technologie, de sécurité et d’affaires.

2.1.2 L’architecture est complète. La portée des principes de l’architecture doit être complète, compte tenu des actifs comme l’infrastructure, les applications, les technologies émergentes ou moins éprouvées et les données pertinentes. Les systèmes et l’infrastructure connexe doivent être conçus et mis en œuvre pour assurer la disponibilité, l’extensibilité, la sécurité (« sécurisé dès le départ ») et la résilience (« résilient dès le départ »). La résilience dès le départ exige de tenir compte du flux de bout en bout des services opérationnels ou des fonctions qu’elles soutiennent et des dépendances internes et externes connexes. Les principes et contrôles de l’architecture doivent être intégrés à la phase de conception du cycle de vie du développement des systèmes, avant leur mise en œuvre.

2.2 Gestion des actifs technologiques

Principe 5 : L’IFF doit tenir un inventaire à jour de tous les actifs technologiques à l’appui des processus ou fonctions opérationnels. Le processus de gestion des actifs de l’IFF doit traiter du classement des actifs pour faciliter le recensement et l’évaluation des risques, consigner les configurations pour assurer l’intégrité des actifs, prévoir la disposition sécuritaire des actifs à la fin de leur cycle de vie et surveiller et gérer l’actualité des technologies.

2.2.1   Les actifs technologiques sont gérés conformément aux exigences établies en fonction de leur criticité. L’IFF doit établir des normes et des procédures pour gérer les actifs technologiques en fonction de leur criticité et de leur classification.

2.2.2 L’inventaire des actifs recense et classe les actifs technologiques. L’IFF doit tenir à jour un système complet de gestion des actifs qui répertorie les actifs technologiques tout au long de leur cycle de vie. L’IFF doit mettre en œuvre des processus pour catégoriser les actifs technologiques en fonction de leur criticité pour l’entreprise et leur attribuer une cote de sécurité en fonction de leur sensibilité. Cette catégorisation doit également cerner les actifs technologiques essentiels qui sont considérés comme ayant une grande valeur pour l’IFF, qui pourraient attirer des auteurs de menaces et de cyberattaques et qui nécessitent donc des mesures de protection accrues. L’inventaire des actifs doit être suffisamment détaillé pour permettre d’identifier rapidement un actif, son emplacement, sa classification et sa propriété. Les interdépendances entre les actifs doivent être documentées pour permettre la mise en place de processus appropriés de gestion du changement et de la configuration et pour aider à répondre aux incidents opérationnels et de sécurité, y compris les cyberattaques.

2.2.3 L’inventaire comprend tous les actifs technologiques qui soutiennent les activités. Un inventaire exhaustif et les processus connexes devraient englober les actifs, organisationnels ou non, qui interagissent avec l’infrastructure technologique de l’IFF à l’appui des services ou fonctions opérationnels. Il s’agit notamment :

  • des actifs appartenant à l’IFF, loués par ou autrement confiés à celle-ci;
  • des actifs appartenant aux employés de l’IFF qui y ont recours dans le cadre de leurs fonctions (p. ex., les actifs autorisés en vertu des politiques « apportez votre propre appareil »);
  • des actifs appartenant à des tiers qui permettent à ces derniers de fournir des services à l’IFF;
  • des actifs appartenant à des non-employés, y compris des entrepreneurs et des experts‑conseils, qui permettent à ces derniers de fournir des services à l’IFF.

2.2.4 L’inventaire répertorie et gère les configurations des actifs technologiques. L’inventaire des technologies doit également comprendre un système d’enregistrement et de gestion des configurations des actifs pour accroître la visibilité et atténuer le risque de pannes technologiques et d’activités non autorisées. Le système doit enregistrer les attributs de configuration des actifs, y compris les configurations de base, et tout changement autorisé subséquent. Des processus doivent être en place pour repérer, évaluer et corriger les écarts par rapport à la configuration de référence approuvée et rendre compte des manquements.

2.2.5 La disposition sécuritaire des actifs technologiques est prévue. L’IFF doit définir des normes et mettre en œuvre des processus pour assurer la disposition ou la destruction sécurisée des actifs à la fin de leur cycle de vie.

2.2.6 L’actualité des technologies est fréquemment remise en question. L’IFF doit fréquemment considérer l’actualité des actifs logiciels et matériels utilisés dans l’environnement technologique à l’appui des processus opérationnels. Elle doit mettre en œuvre de façon anticipatrice des plans d’atténuation et de gestion du risque découlant d’actifs non corrigés, périmés ou non soutenus, et remplacer ou mettre à niveau les actifs avant l’arrêt de l’entretien.

2.3 Gestion de projets technologiques

Principe 6 : Des processus efficaces sont en place pour régir et gérer les projets technologiques, du début à la fin, afin de s’assurer que les résultats des projets sont conformes aux objectifs opérationnels et qu’ils sont atteints en tenant compte de la propension de l’IFF à prendre des risques.

2.3.1 Les projets technologiques sont régis par un cadre organisationnel. Les projets technologiques se distinguent souvent par leur ampleur et par les investissements requis et leur importance dans la réalisation de la stratégie globale de l’IFF. Par conséquent, ils doivent être régis par un cadre organisationnel de gestion de projet qui prévoit des approches cohérentes et l’obtention des résultats du projet à l’appui de la stratégie technologique de l’IFF. Le rendement du projet et les risques connexes doivent être mesurés, suivis et communiqués périodiquement sur une base individuelle et à l’échelle du portefeuille. La propension à prendre des risques et les mesures du projet sont fondées sur le cadre de gestion du risque lié aux technologies et du cyberrisque de l’IFF.

2.4 Cycle de développement des systèmes

Principe 7 : L’IFF doit mettre en œuvre un cadre du cycle de développement des systèmes pour assurer le développement, l’acquisition et l’entretien sécurisés de systèmes technologiques qui fonctionnent comme prévu à l’appui des objectifs opérationnels.

2.4.1 Le cadre du cycle de développement des systèmes guide le développement des systèmes et des logiciels. Le cadre du cycle de développement des systèmes doit décrire les activités et les processus de contrôle à chaque étape du cycle de vie afin d’assurer la sécurité et la fonctionnalité des systèmes et de s’assurer que les systèmes et les logiciels fonctionnent comme prévu pour appuyer les objectifs opérationnels. Les phases du cycle de développement des systèmes comprennent généralement ce qui suit :

  • planification et définition des exigences;
  • conception, codage et mise en œuvre;
  • essais et acceptation;
  • déploiement, entretien et mise hors service.

2.4.2 Les exigences en matière de sécurité sont intégrées à toutes les étapes du cycle de développement des systèmes. Outre les processus et contrôles technologiques généraux, l’IFF doit établir des points de contrôle pour s’assurer que les exigences et les attentes en matière de sécurité sont intégrées à chaque étape du cycle. De solides exigences et contrôles de sécurité comprennent, sans s’y limiter :

  • l’examen du code par les pairs;
  • un contrôle de sécurité du code;
  • la gestion des accès privilégiés et des clés de chiffrement;
  • la protection de l’intégrité et de la confidentialité des données;
  • l’élimination des services et programmes inutiles;
  • l’authentification et l’autorisation;
  • la journalisation et la surveillance.

2.4.3 Les activités de développement, de sécurité et de technologie sont intégrées au cycle de développement. En intégrant les contrôles et les exigences de sécurité des applications dans le développement de logiciels et les activités technologiques, de nouveaux logiciels et services peuvent être livrés rapidement sans compromettre la sécurité des applications. Lorsque ces pratiquesNote de bas de page 1 sont utilisées, l’IFF doit s’assurer qu’elles sont conformes au cadre du cycle de développement de systèmes et aux politiques et normes applicables en matière de technologie et de cybersécurité.

2.4.4 Les risques associés aux systèmes et aux logiciels acquis sont évalués. Pour les logiciels et les systèmes acquis, l’IFF doit s’assurer que les évaluations du risque lié à la sécurité sont effectuées et que la mise en œuvre des systèmes est assujettie aux mêmes exigences de contrôle qu'impose son cadre du cycle de développement des systèmes pour obtenir une assurance de la qualité, du rendement et des contrôles de sécurité.

2.4.5 Les normes de programmation assurent un code sûr et stable. L’IFF doit définir et mettre en œuvre des normes de programmation qui doivent couvrir au moins les contrôles et les pratiques concernant :

  • la programmation sécurisée;
  • l’utilisation de codes de tiers et de source ouverte, de répertoires et d’outils de programmation;
  • les exigences de mise à l’essai;
  • la correction rapide des bogues et des vulnérabilités avant la mise en production;
  • la formation continue des développeurs internes, le cas échéant.

2.5 Gestion du changement et des versions

Principe 8 : L’IFF doit établir et mettre en œuvre un processus de gestion des changements technologiques et élaborer la documentation connexe pour s’assurer que les changements apportés aux actifs technologiques sont documentés, évalués, mis à l’essai, approuvés, mis en œuvre et vérifiés d’une manière contrôlée qui réduit au minimum la perturbation de l’environnement de production.

2.5.1 Les changements apportés aux actifs technologiques sont effectués de manière contrôlée. L’IFF doit veiller à ce que les changements apportés aux actifs technologiques dans l’environnement de production soient documentés, évalués, mis à l’essai, approuvés, mis en œuvre et vérifiés de manière contrôlée. La norme de gestion des changements et des versions doit décrire les principaux contrôles requis à toutes les étapes du processus de gestion du changement. La norme doit également définir les changements urgents et les exigences de contrôle pour s’assurer que ces changements sont mis en œuvre de manière contrôlée et sont accompagnés de mesures de protection adéquates.

2.5.2 Contrôle de la séparation des tâches contre les changements non autorisés. La séparation des tâches est un contrôle clé utilisé pour protéger les actifs contre les changements non autorisés et devrait être exercée dans le cadre du processus de gestion du changement pour s’assurer que la même personne ne peut élaborer, exécuter et déplacer des codes ou des versions entre les environnements technologiques de production et ceux hors production.

2.5.3 Les changements apportés aux actifs technologiques sont traçables. Des contrôles doivent être mis en œuvre pour assurer la traçabilité et l’intégrité du dossier du changement ainsi que de l’actif modifié (p. ex., code, versions) à chaque étape du processus de gestion du changement.

2.6 Gestion des correctifs

Principe 9 : L’IFF doit mettre en œuvre des processus de gestion des correctifs pour assurer l’application contrôlée et rapide des correctifs à l’échelle de son environnement technologique afin de corriger les vulnérabilités et les défauts.

2.6.1 Les correctifs sont appliqués rapidement et de manière contrôlée. Le processus de gestion des correctifs doit définir clairement les attributions de tous les intervenants. Les correctifs doivent suivre les processus existants de gestion du changement de l’IFF, y compris les processus de gestion des changements urgents. Tous les correctifs doivent être mis à l’essai avant leur mise en production.

2.7 Gestion des incidents et des problèmes

Principe 10 : L’IFF doit détecter, consigner, gérer, résoudre, suivre et signaler les incidents technologiques et en minimiser les répercussions.

2.7.1 Les incidents sont gérés de manière à réduire au minimum les répercussions sur les systèmes touchés. L’IFF doit définir des normes et mettre en œuvre des processus de gestion des incidents et des problèmes. Les normes doivent avoir pour objectif général de détecter et de signaler rapidement les incidents, de rétablir ou de redresser un système touché, d’enquêter sur les causes profondes des incidents et de les résoudre, et de fournir une structure de gouvernance appropriée. Les normes de gestion des incidents de l’IFF doivent compléter son cadre de reprise après sinistre et contribuer à sa résilience technologique (voir le domaine 5).

2.7.2 Le processus de gestion des incidents est clair, réactif et axé sur le risque. Le BSIF s’attend à ce que l’IFF mette en œuvre des processus et des procédures de gestion des incidents technologiques, notamment pour :

  • définir et documenter les attributions des intervenants internes et externes pour leur permettre de répondre efficacement aux incidents;
  • établir des indicateurs avancés et des détecteurs de perturbation des systèmes qui reposent sur des activités continues d’évaluation des menaces et de surveillance du risque;
  • recenser et classer les incidents en fonction de leur priorité, qui dépend de leurs répercussions sur les services technologiques;
  • élaborer et mettre en œuvre des procédures d’intervention en cas d’incident qui atténuent les répercussions des incidents, y compris des mesures de communication interne et externe qui comportent des déclencheurs et des processus de signalement aux échelons supérieurs et de notification;
  • effectuer des mises à l’essai et des exercices périodiques à l’aide de scénarios plausibles afin de cerner et de combler les lacunes dans les mesures et les capacités d’intervention en cas d’incident (p. ex., lacunes des ressources internes et externes, des ensembles de compétences disponibles, ainsi que des services et du soutien de tiers requis);
  • établir et mettre à l’essai périodiquement des processus de gestion des incidents (p. ex. communications en cas de crise) avec des fournisseurs tiers.

2.7.3 Les problèmes font l’objet d’une enquête et sont résolus, et des leçons en sont tirées. L’IFF doit élaborer des processus de gestion des problèmes qui prévoient la détection, la catégorisation, l’enquête et la résolution des causes soupçonnées d’incidents. Les processus doivent comprendre des examens postérieurs à l’incident de même que des diagnostics des causes profondes et des répercussions, et permettre de déterminer des tendances des incidents. Les processus de contrôle connexes, notamment la gestion des changements et des versions, sont fonction de la gestion des problèmes et des constatations qui en découlent, l’objectif étant de faire évoluer continuellement les processus et les procédures de gestion des incidents.

2.8 Mesure et suivi des services technologiques

Principe 11 : L’IFF doit élaborer des normes de service et de capacité ainsi que des processus pour suivre la gestion opérationnelle de la technologie, afin de s’assurer que les besoins opérationnels sont satisfaits.

2.8.1 Le rendement des services technologiques est mesuré, suivi et examiné régulièrement aux fins d’amélioration. L’IFF doit établir des normes de gestion des services technologiques accompagnées d’indicateurs de rendement et de cibles de service définis qui peuvent servir à mesurer et à suivre la prestation des services technologiques. Les processus doivent également prévoir la mise en place rapide de correctifs lorsque les cibles ne sont pas atteintes. Les services régis par ces normes peuvent comprendre :

  • le Centre des services de TI;
  • la résolution des incidents et des problèmes;
  • l’entretien des services;
  • la gestion du changement;
  • la gestion des opérations et des réseaux.

2.8.2 Le rendement et la capacité de l’infrastructure technologique sont suffisants. L’IFF doit définir les exigences en matière de rendement et de capacité, accompagnées de seuils d’utilisation de l’infrastructure. Ces exigences doivent faire l’objet d’un suivi continu par rapport à des seuils définis pour s’assurer que le rendement et la capacité technologiques répondent aux besoins opérationnels actuels et futurs.

3. Cybersécurité

Résultat attendu : La posture technologique est sécuritaire et protège la confidentialité, l’intégrité et la disponibilité des actifs technologiques de l’IFF.

3.0 La confidentialité, l’intégrité et la disponibilité des actifs technologiques sont protégées. L’IFF doit cerner, prévenir et détecter de façon anticipatrice les cybermenaces, les cyberévénements et les cyberincidents externes et internes, y réagir et s’en remettre afin de préserver la confidentialité, l’intégrité et la disponibilité de ses actifs technologiques.

3.1 Cerner

Principe 12 : L’IFF doit disposer d’une gamme de pratiques, de capacités, de processus et d’outils pour cerner et évaluer les faiblesses de la cybersécurité qui pourraient être exploitées par les auteurs de menaces externes et internes.

3.1.1 Les risques liés à la sécurité sont repérés. L’IFF doit repérer les cybermenaces actuelles ou émergentes de façon anticipatrice en les évaluant afin de cerner les menaces et les risques liés à la sécurité. Cela doit inclure le cyberrisque que présentent les nouvelles initiatives opérationnelles, les projets technologiques et les processus de gestion du changement. L’IFF doit évaluer et comprendre les risques inhérents et résiduels liés à la sécurité, une fois les contrôles compensatoires appliqués, qui ont une incidence sur ses actifs technologiques essentiels. Cela comprend la mise en œuvre d’évaluations, de processus et d’outils d’information et de cybersécurité axés sur les menaces pour couvrir les contrôles aux différents niveaux de défense.

3.1.2 Les menaces font l’objet d’évaluations et de mises à l’essai fondées sur le renseignement. L’IFF doit adopter une approche fondée sur le risque pour évaluer les menaces et effectuer des mises à l’essai. L’IFF doit définir des déclencheurs et des fréquences minimales pour les évaluations des menaces fondées sur le renseignement afin de mettre à l’essai les processus et contrôles de cybersécurité. En outre, l’IFF doit utiliser une approche visant les cybermenaces axée sur le renseignement et effectuer régulièrement des mises à l’essai et des exercices pour cerner les vulnérabilités ou les lacunes de contrôle de ses programmes de cybersécurité (p. ex., tests de pénétration et équipes d’intervention). L’IFF doit également définir clairement la portée et les répercussions potentielles de ces mises à l’essai et appliquer des contrôles efficaces d’atténuation du risque tout au long de l’évaluation pour gérer les risques inhérents potentiels connexes.

3.1.3 Les vulnérabilités sont recensées, évaluées et classées. L’IFF doit établir des processus pour effectuer des évaluations régulières de la vulnérabilité de ses actifs technologiques, y compris, sans s’y limiter, les dispositifs, systèmes et applications réseau. Les processus doivent préciser la fréquence à laquelle les analyses et les évaluations de la vulnérabilité sont effectuées. L’IFF doit évaluer et classer les cybervulnérabilités et les cybermenaces pertinentes selon la gravité de la menace et de l’exposition des actifs technologiques au risque à l’aide d’une méthode normalisée de mesure du risque. Ce faisant, l’IFF doit tenir compte de l’impact cumulatif potentiel des vulnérabilités, quel que soit le niveau de risque, qui pourrait présenter un risque élevé une fois combinées.

3.1.4 Les données sont recensées, classifiées et protégées. L’IFF doit veiller à ce que des contrôles adéquats soient en place pour recenser, classifier et protéger les données structurées et non structurées, les sources de données autorisées et non autorisées ainsi que les environnements, en fonction de leur niveau de confidentialité. L’IFF doit mettre en œuvre un processus pour effectuer des analyses périodiques de découverte pour repérer les changements et les écarts par rapport aux normes et aux contrôles établis pour protéger les données contre l’accès non autorisé.

3.1.5 La connaissance de la situation et l’échange de l’information sont maintenus en permanence. L’IFF doit maintenir une connaissance continue de la situation du contexte externe des cybermenaces et de son propre environnement de menace en ce qui concerne ses actifs technologiques. Il peut s’agir de participer à des forums sectoriels de renseignement sur les menaces, d’échanger de l’information et de s’abonner à des sources fiables et pertinentes qui fournissent des renseignements sur des domaines tels que les menaces émergentes, les techniques d’attaque, les vulnérabilités et les indicateurs de compromission. Les instances nationales et internationales pertinentes doivent participer à l’échange de renseignements sur les cybermenaces. L’IFF doit veiller à l’échange rapide de renseignements sur les menaces pour faciliter la prévention des cyberattaques, contribuant ainsi à sa propre cyberrésilience et à celle du secteur financier en général.

3.1.6 On procède à la modélisation des menaces et à des chasses aux menaces. L’IFF doit maintenir des modèles de cybermenaces pour repérer les menaces à la cybersécurité qui touchent directement ses actifs et ses services technologiques. Les menaces doivent être évaluées régulièrement afin d’améliorer le programme de cybersécurité, les capacités et les contrôles nécessaires pour atténuer les menaces actuelles et émergentes. L’IFF doit utiliser des techniques manuelles pour repérer et isoler de façon anticipatrice les menaces qui ne sont pas détectées par les outils automatisés (p. ex., la chasse aux menaces).

3.1.7 La sensibilisation à la cybersécurité est encouragée et mise à l’essai.L’IFF doit permettre à ses employés, à ses clients et à ses tiers de signaler les cyberactivités suspectes et les y encourager, tout en reconnaissant le rôle que chacun peut jouer dans la prévention des cyberattaques. L’IFF doit rehausser la sensibilisation aux vecteurs et techniques de cyberattaque ciblant directement les employés, les clients et les tiers concernés. En outre, l’IFF doit régulièrement évaluer les connaissances des cybermenaces de ses employés et l’efficacité des processus et outils de signalement.

3.1.8 Le profil de cyberrisque fait l’objet d’un suivi et de rapports. L’IFF doit tenir à jour un profil de cyberrisque complet pour faciliter la supervision et la prise de décisions dans les meilleurs délais. Le profil doit s’appuyer sur les sources, processus, outils et capacités internes et externes existants de recensement et d’évaluation du risque. L’IFF doit également veiller à ce que des processus et des outils soient en place pour mesurer, surveiller et agréger les risques résiduels. En outre, l’IFF doit rendre compte du profil de cyberrisque en fonction des dimensions pertinentes (p. ex., unité opérationnelle, fonction et territoire).

3.2 Prévenir

Principe 13 : L’IFF doit concevoir, mettre en œuvre et tenir à jour des mesures et des contrôles de cybersécurité multicouches et préventifs pour protéger ses actifs technologiques.

3.2.1 Des pratiques de type « sécurisé dès le départ » sont adoptées. L’IFF devrait adopter des pratiques de type « sécurisé dès le départ » dans tous les aspects de la gestion des technologies et des données, de l’innovation et des activités connexes pour protéger ses actifs technologiques. Les contrôles de défense de sécurité sont censés être préventifs et l’IFF doit examiner régulièrement les cas d’utilisation de la sécurité en vue de recourir davantage aux contrôles préventifs plutôt qu’aux contrôles de détection. L’IFF doit également définir et mettre en œuvre un processus opportun axé sur le risque pour s’assurer que les contrôles de détection sont transformés en contrôles de prévention. L’IFF doit appliquer des contrôles de défense de sécurité à tous les actifs technologiques. Les contrôles de sécurité normalisés doivent être appliqués de bout en bout, dès la conception, aux applications, aux micro-services et aux interfaces de programmation élaborées par l’IFF.

3.2.2 Des technologies cryptographiques fortes et sécurisées sont utilisées. L’IFF doit mettre en œuvre et maintenir de solides technologies cryptographiques pour protéger l’authenticité, la confidentialité et l’intégrité de ses actifs technologiques. Cela comprend des contrôles pour la protection des clés de chiffrement contre tout accès, utilisation et divulgation non autorisés tout au long du cycle de vie de gestion des clés cryptographiques. L’IFF devrait évaluer régulièrement sa norme et ses technologies de cryptographie pour s’assurer qu’elles demeurent efficaces contre les menaces actuelles et émergentes.

3.2.3 Des contrôles et des fonctionnalités améliorés sont appliqués pour protéger les actifs technologiques essentiels. L’IFF doit disposer de contrôles et de fonctionnalités renforcés pour contenir rapidement les menaces à la cybersécurité, défendre ses actifs technologiques essentiels et demeurer résiliente contre les cyberattaques. L’IFF doit également déterminer les contrôles de cybersécurité requis pour protéger ses actifs technologiques essentiels définis au paragraphe 2.2.2 de la présente ligne directrice. Les contrôles des applications doivent être conçus pour contenir et limiter l’incidence d’une cyberattaque. Des normes de sécurité renforcées, des configurations de référence et des exigences de renforcement de la sécurité doivent être mises en œuvre, suivies et examinées pour protéger la confidentialité, l’intégrité et la disponibilité des actifs technologiques essentiels tout au long de leur cycle de vie.

3.2.4 Les contrôles de cybersécurité sont stratifiés. L’IFF doit mettre en œuvre et maintenir plusieurs niveaux de contrôles de cybersécurité et se défendre contre les menaces à chaque étape du cycle de vie des attaques (p. ex., depuis la reconnaissance et l’accès initial jusqu’à l’exécution des objectifs). L’IFF doit également faire preuve de résilience face aux cybermenaces actuelles et émergentes en maintenant des contrôles et des outils de défense et en assurant l’efficacité opérationnelle continue des contrôles en réduisant au minimum les faux positifs.

3.2.5 Des contrôles de sécurité pour protéger les données et en prévenir la perte sont mis en œuvre. À partir d’une classification claire de ses données, l’IFF doit concevoir et mettre en œuvre des contrôles pour protéger ses données tout au long de leur cycle de vie. Plus précisément, l’IFF doit :

  • définir et mettre en œuvre des contrôles de protection axés sur le risque pour les données hébergées dans tous les environnements de l’IFF (développement, mise à l’essai, production, sauvegarde, etc.) et celles hébergées par ses tiers, y compris les fournisseurs de services d’infonuagique;
  • protéger les données de sauvegarde des cyberattaques (p. ex., rançongiciels);
  • mettre en œuvre des contrôles multicouches pour le chiffrement des données au repos, des données en transit et des données utilisées;
  • mettre en œuvre des capacités et des contrôles de prévention de la perte de données fondés sur le risque, façonnés par les cas d’utilisation pour les canaux à risque élevé de perte de données.

3.2.6 Les vulnérabilités de sécurité sont éliminées. Pour s’assurer que les vulnérabilités de sécurité sont bien gérées, l’IFF doit :

  • maintenir les capacités pour assurer l’application rapide de correctifs fondés sur le risque aux vulnérabilités des logiciels des fournisseurs et des applications internes qui tiennent compte de la gravité de la menace et de la vulnérabilité des systèmes exposés;
  • établir un échéancier minimal fondé sur le risque pour appliquer les correctifs dès qu’une vulnérabilité est repérée et évaluée. Les correctifs doivent être appliqués le plus tôt possible, en fonction du risque. Par exemple, une vulnérabilité classée par l’IFF comme étant grave (c.-à-d. présentant le risque le plus élevé) doit être corrigée dans les 48 heures. Des échéanciers similaires doivent être établis pour les vulnérabilités moins graves;
  • mettre en œuvre des contrôles compensatoires supplémentaires au besoin pour atténuer suffisamment le risque ou lorsqu’aucun correctif viable n’est disponible (p. ex., attaques du jour zéro);
  • surveiller régulièrement l’état des correctifs et la correction des vulnérabilités par rapport aux échéanciers définis, y compris tout arriéré et toute exception.

3.2.7 Des contrôles de gestion de l’identité et de l’accès sont mis en œuvre. L’IFF doit mettre en œuvre des contrôles de l’identité et de l’accès fondés sur le risque, y compris l’authentification multifactorielle (AMF)Note de bas de page 2 et la gestion de l’accès privilégié. Il faut au moins prendre en compte :

  • l’application des principes du droit d’accès minimal, du besoin de savoir et de la séparation des tâches;
  • le renouvellement périodique de l’accès et des permissions et le retrait rapide de l’accès;
  • le maintien de mots de passe solides et complexes, proportionnels au risque, pour authentifier l’accès des employés, des clients et des tiers aux actifs technologiques;
  • la mise en œuvre de l’AMF dans tous les canaux externes et comptes privilégiés (p. ex., clients, employés et tiers);
  • la gestion des justificatifs d’identité des comptes privilégiés au moyen d’une chambre forte sécurisée;
  • l’enregistrement et le suivi des activités du compte dans le cadre des processus de suivi continu de la sécurité;
  • l’authentification, la gestion et le suivi sécurisés des comptes des systèmes et des services pour détecter toute utilisation non autorisée;
  • la vérification appropriée des antécédents des personnes qui ont accès aux systèmes ou aux données de l’IFF, en fonction de la criticité et de la confidentialité des actifs technologiques.

3.2.8 Les configurations de sécurité de base sont appliquées et les écarts sont corrigés. L’IFF doit mettre en œuvre des configurations de base approuvées fondées sur le risque pour les actifs technologiques et les outils de défense de sécurité, y compris ceux fournis par des tiers. Dans la mesure du possible, les configurations de sécurité de base pour différents niveaux de défense doivent viser la désactivation des paramètres et de l’accès par défaut. L’IFF doit aussi :

  • appliquer et restreindre les changements aux images, aux modèles et aux données de référence sécurisés approuvés du système d’exploitation afin de limiter les écarts et de réduire le risque de mauvaise configuration;
  • détecter et corriger rapidement les écarts de configuration en suivant les processus établis;
  • suivre les écarts de configuration de la sécurité et signaler toute exception approuvée;
  • établir l’ordre de priorité des écarts ou des exceptions en fonction du risque s’il est impossible d’apporter rapidement des correctifs;
  • signaler et faire approuver toute dérogation ou exception pour façonner le profil de cyberrisque de l’IFF.

3.2.9 L’IFF met au profit ses capacités d’analyse et de mise à l’essai des applications. L’IFF doit mettre au profit ses capacités d’analyse et de mises à l’essai statiques ou dynamiques pour s’assurer que les vulnérabilités des systèmes et applications nouveaux ou modifiés sont évaluées avant leur mise en production. Des contrôles de sécurité doivent également être mis en œuvre pour maintenir la sécurité lorsque les pratiques de développement et d’exploitation sont combinées par un pipeline de développement continu et automatisé (voir le paragraphe 2.4.3).

3.2.10 Des contrôles de sécurité supplémentaires sont appliqués aux services externes. Pour les services d’application externes et l’infrastructure de réseau, l’IFF doit mettre en œuvre des couches supplémentaires de contrôles de sécurité afin de protéger ces services contre les cyberattaques comme les attaques volumétriques, les attaques de réseau faibles ou lentes et les attaques de logique opérationnelle des applications. En ce qui concerne les services de cybersécurité qui offrent et protègent les services essentiels en ligne, l’IFF doit régulièrement mettre à l’essai des contrôles, des guides et des procédures.

3.2.11 Des contrôles de cyberdéfense pour les ordinateurs, les terminaux et les appareils mobiles sont maintenus. L’IFF doit maintenir plusieurs couches de contrôles de cybersécurité pour les hôtes, les terminaux et les appareils mobiles. Elle doit notamment :

  • tirer parti d’une combinaison de listes d’acceptation et de refus, y compris le hachage et la signature des fichiers et les indicateurs de compromission, en plus des capacités avancées de protection fondées sur le comportement qui sont continuellement mises à jour;
  • appliquer des contrôles de défense et des capacités d’atténuation pour la détection et la prévention des virus, des maliciels, des pertes de données et des intrusions à tous les actifs technologiques pertinents.

3.2.12 Les réseaux sont protégés. L’IFF doit protéger tous ses réseaux, y compris ses services externes, contre les menaces en réduisant au minimum sa surface d’attaque. Elle doit définir les zones de réseau logiques autorisées et appliquer des contrôles pour séparer et limiter ou bloquer l’accès et le trafic à destination et en provenance des zones de réseau. Le BSIF s’attend à ce que l’IFF conserve des outils de prévention, de suivi et de signalement des intrusions dans son périmètre réseau.

3.2.13 Des contrôles et des processus d’accès physique sont appliqués. L’IFF doit définir et mettre en œuvre des contrôles et des processus de gestion de l’accès physique pour protéger l’infrastructure réseau et les autres actifs technologiques contre l’accès non autorisé et les dangers environnementaux. Les zones physiques peuvent comprendre des locaux à bureaux, des centres de données, des salles d’équipement réseau, des sites de sauvegarde et de stockage des données, des serveurs et des postes de travail. Exemples de saines pratiques :

  • mettre en œuvre des processus de provisionnement des utilisateurs pour donner accès aux personnes autorisées, renouveler périodiquement l’accès et révoquer rapidement l’accès lorsqu’il n’est plus nécessaire;
  • protéger l’équipement réseau et les autres actifs technologiques contre les menaces et les dangers environnementaux;
  • désactiver des points d’accès réseau et des ports matériels lorsqu’ils ne sont pas utilisés pour empêcher tout accès non autorisé.

3.3 Détecter

Principe 14 : L’IFF conçoit, met en œuvre et maintient des capacités de détection continue de sécurité pour permettre le suivi, le signalement et la tenue d’enquêtes judiciaires sur les incidents de cybersécurité.

3.3.1 Les événements liés à la sécurité sont enregistrés de façon continue et centralisée à l’appui des enquêtes. L’IFF doit veiller à l’enregistrement continu de la sécurité de tous les actifs technologiques et des différentes couches d’outils de défense. Les outils centraux permettant d’agréger, de corréler et de gérer les journaux des événements liés à la sécurité selon le risque devraient permettre un accès rapide aux journaux durant une enquête sur un cyberévénement. Pour tout cyberincident ou cybermenace important, l’enquête judiciaire de l’IFF ne doit pas être limitée ou retardée par des registres désagrégés, inaccessibles, ou incomplets (c’est‑à‑dire qu’il manque certains événements graves). En ce qui concerne les actifs et les services technologiques, l’IFF doit instaurer des périodes minimales de conservation des registres de sécurité et tenir à jour des registres des cyberévénements pour faciliter une enquête judiciaire approfondie et sans entrave sur ces événements.

3.3.2 Les activités malveillantes et non autorisées sont détectées. L’IFF doit maintenir des capacités de gestion de l’information et des événements liés à la sécurité pour assurer la détection et le signalement continus des activités malveillantes et non autorisées des utilisateurs et des systèmes. La détection et la prévention avancées fondées sur le comportement doivent être utilisées pour détecter les anomalies de comportement des utilisateurs et des entités et les menaces externes et internes émergentes qui peuvent être difficiles à déceler au moyen de règles ou de politiques de sécurité prédéfinies. Pour poursuivre l’amélioration de ses outils de suivi, l’IFF doit se fier aux plus récents renseignements sur les menaces et indicateurs de compromission. Dans les cas d’utilisation à risque élevé, l’IFF doit inspecter les données chiffrées en transit pour améliorer ses capacités de suivi et de détection continus.

3.3.3 Les alertes de cybersécurité font l’objet d’un triage. L’IFF doit définir les attributions pour permettre le triage des alertes de cybersécurité à risque élevé afin de contenir et d’atténuer rapidement les cybermenaces importantes avant qu’elles ne donnent lieu à un incident de sécurité important ou à une perturbation opérationnelle.

3.4 Répondre, rétablir et apprendre

Principe 15 : L’IFF doit d’abord trier les cyberincidents ayant une incidence sur ses actifs technologiques, y compris les incidents provenant de tiers fournisseurs, et ensuite y répondre, les contenir, s’en remettre et en tirer des leçons.

3.4.1 Les capacités d’intervention en cas d’incident sont intégrées et harmonisées. Le domaine des activités technologiques énonce les attentes fondamentales à l’égard de la capacité de gestion des incidents et des problèmes de l’IFF. Le BSIF s’attend à ce que l’IFF assure la concordance de ses protocoles de technologie, de cybersécurité, de gestion de crises et de communication. Ces protocoles devraient comprendre toutes les étapes du signalement rapide aux échelons supérieurs et la coordination des intervenants (internes et externes) par la suite d’un cyberévénement ou cyberincident majeur.

3.4.2 La taxonomie des cyberincidents est définie. L’IFF doit clairement définir et adopter une taxonomie des cyberincidents qui permet de classer les cyberincidents et les incidents de sécurité de l’information selon des critères précis, comme la gravité, la catégorie, le type et la cause profonde. Elle doit être conçue pour aider l’IFF à répondre aux cyberincidents, à les gérer et à en rendre compte.

3.4.3 Le processus et les outils de gestion des cyberincidents sont tenus à jour. Le BSIF s’attend à ce que l’IFF tienne à jour un processus et des guides de gestion des cyberincidents pour en assurer la gestion rapide et efficace. Ces guides doivent expliquer les fonctions internes et externes de l’IFF lorsque des activités importantes sont imparties ou font appel à des tiers fournisseurs, y compris des vendeurs ou des fournisseurs de services gérés ou d’infonuagique.

3.4.4 Des capacités d’intervention, de confinement et de rétablissement rapides sont établies. L’IFF doit mettre sur pied une équipe d’intervention en cas de cyberincident dotée en permanence d’outils et de capacités pour répondre rapidement aux cyberévénements et cyberincidents qui pourraient avoir une incidence importante sur ses actifs technologiques, ses clients et d’autres intervenants, pour les contenir et pour pouvoir s’en remettre. Lorsque ces services de sécurité sont impartis à un tiers, l’IFF doit définir clairement les seuils de notification et de signalement rapide aux échelons supérieurs.

3.4.5 L’IFF poursuit des enquêtes judiciaires et des analyses des causes fondamentales au besoin. L’IFF doit mener une enquête judiciaire d’expert en cas d’incident qui pourrait exposer ses actifs technologiques à un risque important. Après un incident très grave, l’IFF doit effectuer une évaluation détaillée des répercussions directes et indirectes (financières ou non) et une analyse des causes fondamentales pour déterminer les mesures correctives à prendre, s’attaquer à la cause profonde et donner suite aux leçons apprises. L’analyse des causes profondes doit évaluer les menaces, les faiblesses et les vulnérabilités des personnes, des processus, de la technologie et des données.

3.4.6 Des essais et des simulations sont effectués pour améliorer continuellement la réponse. En plus des attentes énoncées à la section 2.7 du domaine des activités technologiques, l’IFF doit effectuer des exercices et des mises à l’essai périodiques de son processus de gestion des incidents, de ses guides et de ses autres outils d’intervention (p. ex. coordination et communication) pour maintenir et valider leur efficacité.

4. Risque lié aux technologies et cyberrisque des fournisseurs tiers

Résultat attendu : Les technologies et activités cybernétiques des fournisseurs tiers sont fiables et sécuritaires.

Ce domaine doit être lu en parallèle avec les principes énoncés dans la ligne directrice B-10, qui présentent les attentes générales du BSIF à l’égard de la saine gestion du risque lié à l’impartition et du risque lié aux tiers, dont le fait que l’IFF demeure responsable en dernier ressort des activités imparties.Note de bas de page 3 Par conséquent, outre les attentes énoncées dans la ligne directrice B-10, l’IFF doit envisager de mettre en place des contrôles supplémentaires pour gérer le risque lié aux technologies et le cyberrisque chez tous les fournisseurs tiers, y compris, sans s’y limiter, les fournisseurs de services d’infonuagique et de services gérés.

4.1 Généralités   

Principe 16 : L’IFF doit veiller à ce que des contrôles et des processus efficaces soient mis en œuvre pour cerner, évaluer, gérer, surveiller, signaler et atténuer le risque lié aux technologies et le cyberrisque tout au long du cycle de vie du fournisseur tiers, c’est-à-dire de l’étape de la diligence raisonnable à la cessation ou à la sortie.

4.1.1 Les ententes avec les fournisseurs tiers prévoient des responsabilités claires. L’IFF est responsable en dernier ressort des activités imparties, mais elle doit préciser ses responsabilités et celles des fournisseurs tiers en matière de gestion du risque lié aux technologies et du cyberrisque. Par conséquent, une entente officielle entre le fournisseur tiers et l’IFF doit être définie, acceptée par toutes les parties et mise en œuvre au moment de l’accueil du fournisseur pour limiter l’ambiguïté des responsabilités en matière de technologies et de cybercontrôles.

4.1.2 Les fournisseurs tiers doivent se conformer aux normes de l’IFF. L’IFF doit établir des mécanismes pour s’assurer que les fournisseurs tiers respectent ses normes en matière de technologie et de cybersécurité qui sont élaborées conformément aux domaines Activités technologiques et Cybersécurité de la présente ligne directrice. Par exemple :

  • L’accès privilégié des fournisseurs tiers doit être géré et suivi de près. Lors de la connexion à l’IFF, des contrôles doivent être définis et mis en œuvre pour prévenir et détecter les accès et les activités non autorisés au moyen de tout mécanisme. L’accès de l’IFF à ses ressources d’information hébergées par des fournisseurs tiers doit également être géré, suivi et examiné conformément aux normes de l’IFF.
  • Les normes de l’IFF en matière de classification, de protection et de destruction sécurisée des renseignements doivent s’appliquer aux fournisseurs tiers qui stockent, utilisent, modifient ou transmettent des renseignements de l’IFF.
  • Les fournisseurs tiers doivent être assujettis aux normes de gestion du changement et de la configuration de l’IFF applicables à l’information et aux systèmes d’information de cette dernière.
  • Des processus centralisés d’enregistrement et de suivi doivent être mis en œuvre pour détecter les anomalies et adopter de manière anticipatrice des contrôles pour tous les actifs des fournisseurs tiers, y compris le nuage, et permettre d’effectuer des analyses consolidées et de produire des rapports sur la posture de sécurité sur toutes les plateformes.

4.2. Infonuagique

4.2.1 Des exigences qui s’appliquent à l’infonuagique sont établies. L’IFF doit élaborer des exigences propres à l’infonuagique pour veiller à ce que l’adoption de cette technologie se fasse d’une manière structurée et mesurée qui optimise l’interopérabilité tout en respectant la propension déclarée de l’IFF à prendre des risques. Ces exigences doivent renforcer les contrôles et les normes existants de l’IFF, notamment au chapitre :

  • de la gestion de l’identité et de l’accès;
  • de la gestion des interfaces de programmation;
  • des conteneurs et de l’orchestration;
  • de la protection des données;
  • de la gestion des vulnérabilités;
  • de la gestion des clés cryptographiques.

Ces exigences doivent s’accompagner d’une gouvernance de l’infonuagique solide pour assurer une supervision et un suivi adéquats de la conformité aux pratiques de gestion du risque de l’IFF. Les exigences propres à l’infonuagique doivent orienter la prise de décisions et contribuer à assurer la concordance des solutions avec la stratégie technologique générale de l’IFF.

4.2.2 La transférabilité du nuage est prise en considération à l’étape de la conception et de la mise en œuvre. En plus de planifier des stratégies de sortie judicieuses, l’IFF doit également tenir compte de la transférabilité (c.-à-d. qu’elle a la capacité de transférer les applications et les données d’un fournisseur de services d’infonuagique à une autre) dans le cadre du processus de conception et de mise en œuvre de l’infonuagique.

5. Résilience technologique

Résultat attendu : Les services technologiques sont fournis comme prévu en cas de perturbation.

Ce domaine met l’accent sur les capacités de reprise après sinistre de l’IFF, qui permettent la poursuite des services technologiques en cas de perturbation opérationnelle. À cela s’ajoutent les attentes connexes énoncées dans les domaines 2 à 4 qui contribuent à la résilience technologique, y compris l’architecture technologique, la gestion des incidents et des problèmes et la cybersécurité.

5.1 Reprise après sinistre

Principe 17 : L’IFF doit établir et tenir à jour un cadre organisationnel de reprise après sinistre (CORAS) pour renforcer sa capacité de fournir des services technologiques en cas de perturbation tout en respectant sa tolérance au risque.

5.1.1 Établissement d’un cadre de reprise après sinistre. Le BSIF s’attend à ce que l’IFF élabore, mette en œuvre et tienne à jour un cadre organisationnel de reprise après sinistre (CORAS) qui énonce l’approche de l’IFF pour rétablir les services technologiques en cas de perturbation. L’IFF doit harmoniser le CORAS avec son programme de gestion de la continuité des activités. Le CORAS doit au moins établir :

  • la reddition de comptes et la responsabilité à l’égard de la disponibilité et de la reprise des services technologiques, y compris les mesures de reprise;
  • un processus de détermination et d’analyse des services technologiques et des principales dépendances nécessaires pour fonctionner dans le respect de la tolérance au risque de l’IFF;
  • les procédures et les capacités nécessaires pour rétablir les services technologiques à un niveau acceptable, dans un délai acceptable, en cas de perturbation;
  • une stratégie, une politique et des processus de sauvegarde des systèmes et des données qui traitent notamment des périodes de conservation des données, des processus et de la fréquence de sauvegarde, des processus de stockage et de destruction des données et des mises à l’essai périodiques.

5.1.2 L’IFF gère les principales dépendances. Le BSIF s’attend à ce que l’IFF gère les principales dépendances requises pour appuyer le CORAS, notamment :

  • les exigences en matière de sécurité des données et de leur stockage (p. ex., le chiffrement);
  • l’emplacement des centres d’actifs technologiques, des sites de sauvegarde, des fournisseurs de services et la proximité des centres de données principaux et d’autres emplacements d’actifs technologiques essentiels.

Principe 18 : L’IFF doit mettre à l’essai des scénarios sur les capacités de reprise après sinistre pour confirmer que ses services technologiques fonctionnent comme prévu en cas de perturbation.

5.1.3 L’IFF met à l’essai des scénarios de reprise après sinistre. Pour promouvoir l’apprentissage, l’amélioration continue et la résilience technologique, le BSIF s’attend à ce que l’IFF valide ses stratégies et ses plans de reprise après sinistre et en rende périodiquement compte par rapport à des scénarios graves, mais plausibles. Ces scénarios doivent être prospectifs et couvrir, le cas échéant :

  • les risques ou menaces nouveaux et émergents;
  • la modification importante des objectifs opérationnels ou des technologies;
  • l’historique des incidents et les complexités ou faiblesses technologiques connues.

Les scénarios de reprise après sinistre de l’IFF doivent vérifier :

  • les capacités et les processus de sauvegarde et de reprise des activités de l’IFF afin de valider les stratégies, les plans et les mesures de résilience et de confirmer la capacité de l’organisation de satisfaire aux exigences prédéfinies, y compris au moyen d’une exécution en direct ou d’une simulation détaillée;
  • les technologies essentielles de tiers et les points d’intégration avec dépendances en amont et en aval, y compris la technologie sur place et hors des locaux.

Notes de bas de page

Note de bas de page 1

Ces pratiques sont communément appelées « DevSecOps » (développement, sécurité, opérations).

Retour à la référence de la note de bas de page 1

Note de bas de page 2

L’AMF utilise des facteurs d’authentification indépendants qui comprennent généralement quelque chose que l’utilisateur a) connaît, comme un mot de passe ou un NIP; b) possède, comme un dispositif ou un jeton d’identification cryptographique; et c) est, comme ses caractéristiques biométriques ou son comportement. 

Retour à la référence de la note de bas de page 2

Note de bas de page 3

La ligne directrice B-10 du BSIF est à l’étude; la nouvelle version s’appliquera à d’autres ententes avec des tiers fournisseurs au‑delà de l’impartition.

Retour à la référence de la note de bas de page 3

​​