Consultation sur le risque lié aux technologies

Documents connexes

Propriétés du document

  • Type de publication : Lettre
  • Date : Le 10 mai 2021
  • Destinataires : Institutions financières fédérales, Régimes de retraite de compétence fédérale

Le 15 septembre 2020, après avoir consulté divers intervenants au sujet du risque lié aux technologies, en mettant l’accent plus particulièrement sur la cybersécurité, l’analytique avancée et l’écosystème de tiers dans le domaine des technologies, le BSIF a publié un document de travail intitulé Renforcer la résilience du secteur financier dans un monde numérique.

Dans le cadre de la consultation qui a pris fin le 15 décembre 2020, le BSIF a reçu plus de 50 mémoires de répondants formant un groupe diversifié composé d’institutions financières fédérales (IFF), d’associations sectorielles, d’entreprises de technologie et de cabinets d’experts-conseils.

Il en est ressorti un appui généralisé aux nouvelles perspectives du BSIF fondées sur des principes et neutres sur le plan technologique en matière de gestion du risque lié aux technologies. Les répondants ont indiqué que le BSIF devrait d’abord s’appuyer sur ses consignes déjà en vigueur et arrimer les consignes supplémentaires aux normes internationales et informatiques en vigueur. Vous trouverez dans l’annexe ci-jointe un bref résumé des commentaires reçus dans le cadre de la consultation.

À la lumière de ces commentaires, le BSIF prévoit publier des consignes provisoires en suivant l’échéancier suivant, par trimestre et par année. Les jalons indiqués ci-après reflètent la version actuelle des plans stratégiques du BSIF, qui pourraient être modifiés en fonction de facteurs extérieurs.

ConsignePublication prévue de la version provisoire
Risque lié aux technologies et à la cybersécurité
  • Nouvelle ligne directrice sur les technologies et le cyber-risque
  • T4 de 2021
Risque lié aux tiers
  • Nouvelle version à l’étude de la ligne directrice B-10 sur le risque lié aux tiers
  • T1 de 2022
Risque opérationnel et résilience
  • Lettre d’information sur la résilience opérationnelle
  • Nouvelle version de la ligne directrice E-21 sur la gestion du risque opérationnel
  • T3 de 2021
  • 2022-2023
Risque de modélisation
  • Lettre d’information sur l’analytique avancée et le risque de modélisation
  • Consigne révisée sur le risque de modélisation
  • T1 de 2022
  • 2022-2023

Les répondants auront d’autres occasions de formuler des commentaires sur des propositions précises du BSIF avant la publication des consignes finales. De plus amples renseignements sont disponibles dans le Plan à court terme du BSIF relatif aux politiques prudentielles.

Annexe : Bref résumé des commentaires reçus

Gestion du risque opérationnel et résilience opérationnelle

  • Le risque lié aux technologies est géré efficacement dans le contexte plus vaste d’une gestion du risque non financier et opérationnel intégrée au programme de gestion du risque d’entreprise d’une société.
  • La résilience opérationnelle est le fruit d’une gestion efficace du risque opérationnel, et la technologie est un élément clé des opérations.
  • Les outils et les approches actuels de gestion du risque opérationnel sont appropriés, mais il est encore possible de renforcer les pratiques.

Risque lié aux technologies et cybersécurité

  • Une approche neutre sur le plan technologique, fondée sur des principes, dans laquelle les définitions, les concepts et les attentes sont harmonisés avec les normes mondiales reconnues et les consignes en vigueur est la plus appropriée aux fins de la gestion du risque lié aux technologies.
  • La plupart des répondants ont offert un éventail de suggestions visant à améliorer les consignes en vigueur, alors que d’autres étaient d’avis qu’elles (p. ex., outil d’autoévaluation, avis de signalement d’incident) sont suffisantes pour faire face aux risques émergents.
  • En général, les risques émergents peuvent être gérés efficacement dans un cadre plus vaste de gestion du risque lié aux technologies. L’état de préparation à l’arrivée de l’informatique quantique requiert une action collective de la part du gouvernement, de l’industrie et du milieu universitaire. Le BSIF doit poursuivre les efforts en ce sens.

Analytique avancée

  • Les principes proposés par le BSIF – la solidité, l’explicabilité et la responsabilité – permettent de faire face aux risques de modélisation émergents, y compris ceux posés par les technologies d’intelligence artificielle (IA) et d’apprentissage automatique (AA). Des répondants ont suggéré des domaines où le BSIF pourrait envisager des ajustements pour renforcer les principes; d’autres ont souligné l’importance de la supervision et de l’examen par une personne des modèles d’IA/AA.
  • Les nouvelles consignes sur le risque de modélisation doivent demeurer axées sur le risque et les principes, être neutres sur le plan technologique et être harmonisées avec celles d’autres administrations et avec les normes sectorielles en vigueur. Des répondants ont estimé que la ligne directrice E-23 du BSIF (Gestion du risque de modélisation à l’échelle de l’entreprise dans les institutions de dépôts) couvre suffisamment les risques liés à l’intelligence artificielle (IA) et à l’apprentissage automatique (AA).

Risque lié aux tiers

  • La plupart des répondants n’ont pas estimé que d’établir des consignes distinctes pour les ententes avec des tiers dans le domaine de la technologie soit justifié, et ont ajouté que ces ententes devraient être prises en compte dans le cadre de l’examen de la ligne directrice B-10 prévu par le BSIF.
  • Bien que la plupart des répondants soient d’avis que la ligne directrice B-10 englobe de façon générale les ententes avec des tiers dans le domaine de la technologie, certains ont suggéré de remplacer certaines attentes par des principes davantage axés sur les résultats.
  • La plupart des répondants ont indiqué ne pas estimer que d’établir des consignes distinctes sur la gestion du risque lié à l’infonuagique soit justifié et estiment que des dispositions liées à l’infonuagique pourraient être intégrées à la ligne directrice B-10.
  • De nombreux répondants ont proposé des modifications aux descriptions ou d’autres principes à prendre en considération, tandis que plusieurs autres étaient d’avis que les principes proposés couvrent adéquatement les risques actuels et émergents.
  • Le BSIF devrait traiter les ententes en matière de technologies financières de la même façon que les autres ententes conclues avec des tiers, car bon nombre des risques inhérents posés par ces entreprises sont semblables à ceux présentés par d’autres tiers fournisseurs. Le BSIF devrait également attendre que le règlement récemment annoncé sur le réseautage en technologies financières, en vertu des lois régissant les IFF, soit achevé afin d’éviter les chevauchements.

Données

  • Le BSIF ne devrait pas créer de consignes supplémentaires sur le risque lié aux données, car les lois et les normes en vigueur couvrent suffisamment les IFF. Des répondants recommandent au BSIF de tenir compte des Principes aux fins de l’agrégation des données sur les risques et de la notification des risques du Comité de Bâle sur le contrôle bancaire comme fondement de toute attente supplémentaire qui pourrait s’appliquer à toutes les IFF, au-delà des banques d’importance systémique.
  • Le risque lié aux données recoupe de nombreux autres aspects du risque (p. ex., cybersécurité, modélisation), et les répondants ont souligné les principaux aspects du risque lié aux données en soi (c.-à-d. la qualité, la sécurité et la protection des renseignements personnels).
  • Les risques importants liés aux données ont tendance à découler de l’utilisation de données de mauvaise qualité (p. ex., données insuffisantes ou inexactes), de la mauvaise utilisation des données, de pannes ou d’atteintes qui entraînent des perturbations opérationnelles ou des préjudices à la réputation et des pertes financières.