Document properties
-
Propriétés du document : Lettre
-
Date : Le 9 novembre 2021
Le Bureau du surintendant des institutions financières (BSIF) procède aujourd’hui à une consultation publique de trois mois sur le projet de ligne directrice B‑13 intitulé
Gestion du risque lié aux technologies et du cyberrisque.
Cette ligne directrice énonce les attentes du BSIF permettant d’assurer une bonne gestion du cyberrisque dans cinq domaines, où chaque domaine est régi par un objectif de résultat et des principes de neutralité technologique qui, ensemble, concourent à la résilience opérationnelle. Elle répond aux
commentaires que le BSIF a reçus à la suite de la publication à l’automne 2020 de son document de travail sur le risque lié aux technologies et les risques connexes (voir en annexe).
Les consignes existantes du BSIF, dont les lignes directrices E‑21 (Gestion du risque opérationnel) et B‑10 (Impartition d’activités, de fonctions et de méthodes commerciales), ainsi que le préavis
Signalement des incidents liés à la technologie et à la cybersécurité et l’outil
Autoévaluation en matière de cybersécurité nouvellement mis à jour, viendront compléter le projet de ligne directrice. En mai 2021, par le biais de son
plan à court terme relatif aux politiques prudentielles, le BSIF a fait part de son intention de revoir les consignes existantes en matière d’impartition et de gestion du risque opérationnel.
L’élaboration de consignes sur le risque lié aux technologies et le cyberrisque nécessite la transparence et la participation des parties intéressées afin que le BSIF puisse trouver le juste milieu entre la réalisation de ses objectifs prudentiels et la possibilité des institutions financières de se mesurer à la concurrence. Le BSIF invite le grand public à lui faire part de ses commentaires sur le projet de ligne directrice B‑13, plus particulièrement en ce qui concerne :
- la clarté des attentes du BSIF, telles qu’elles sont énoncées dans le projet de ligne directrice;
- la mise en application de ces attentes en fonction de la taille, de la nature, de la portée et de la complexité des activités des institutions;
- le choix d’attentes constituant un juste milieu entre réglementation normative et réglementation fondée sur des principes;
- des suggestions utiles à la réalisation du mandat du BSIF, qui est de protéger les déposants et les souscripteurs et de préserver la confiance du public dans le système financier canadien, tout en permettant aux institutions de se mesurer à la concurrence et de prendre des risques raisonnables.
Une séance d’information à l’intention des institutions financières aura lieu au cours des prochaines semaines afin de leur donner une vue d’ensemble du projet de ligne directrice B‑13 et l’occasion de poser des questions.
Veuillez adresser vos commentaires à
Tech.Cyber@osfi‑bsif.gc.ca d’ici le 9 février 2022.
Annexe — Réponse du BSIF aux commentaires qui lui ont été transmis à la suite de la publication en 2020 de son document de travail sur le risque lié aux technologies et les risques connexes
Pour la préparation de son projet de ligne directrice B‑13, le BSIF a tenu compte des divers
commentaires que les parties intéressées lui ont transmis en réponse à la publication en 2020 de son document de travail intitulé
Renforcer la résilience du secteur financier dans un monde numérique. Vous trouverez ci-après un résumé des principales questions découlant de la consultation du BSIF, accompagnées de ses réponses à chacune d’elles.
| Commentaires des répondants | Réponse du BSIF |
|---|
| Risque et résilience opérationnels |
|---|
- Le risque lié aux technologies est géré efficacement dans le contexte plus large de la gestion du risque non financier et du risque opérationnel, qui s’intègre au programme de gestion du risque d’entreprise de l’institution.
| - Le paragraphe 1.3.1 propose de faire concorder le cadre de gestion du risque lié aux technologies et du cyberrisque des institutions financières fédérales (IFF) avec leur cadre général de gestion du risque d’entreprise. Les IFF qui souhaitent obtenir de plus amples indications sont invitées à consulter la section III (Gouvernance des risques) de la ligne directrice Gouvernance d’entreprise du BSIF.
|
- La résilience opérationnelle est le résultat d’une gestion efficace du risque opérationnel et les technologies constituent un puissant facilitateur des opérations.
| - Le projet de ligne directrice B‑13 a pour but de renforcer la résilience des IFF face au risque lié aux technologies et au cyberrisque. Dans le cinquième domaine (Résilience technologique), l’importance de la reprise après sinistre est soulignée et des liens avec les autres secteurs de résilience sont établis tout au long de la ligne directrice (p. ex., Activités technologiques et Cybersécurité).
- Le BSIF est en passe d’examiner les autres commentaires qu’il a reçus à la suite de la publication en juillet 2021 de sa
lettre intitulée
Risque opérationnel et résilience. Il se peut qu’il modifie le projet de ligne directrice B‑13 afin de mieux intégrer les attentes en matière de résilience opérationnelle à l’ensemble de ses consignes réglementaires.
- Le BSIF sollicite l’opinion des IFF au sujet du juste milieu entre secteurs de résilience et contrôles préventifs dans le projet de ligne directrice.
|
| Technologies et cybersécurité |
|---|
- Une approche fondée sur des principes et technologiquement neutre, selon laquelle les définitions, les concepts et les attentes s’accordent avec les normes mondiales reconnues et les consignes existantes, voilà ce qui est le mieux pour gérer le risque lié aux technologies.
| - Des répondants ont indiqué qu’il leur serait utile d’avoir une méthode plus normative pour la mise en place d’une gestion et d’un contrôle efficaces du risque, plus particulièrement en ce qui concerne la cybersécurité. Toutefois, le BSIF est conscient que certaines IFF (p. ex., les grandes institutions complexes) surpassent déjà plusieurs des attentes détaillées ou les trouvent inutilement normatives.
- Afin d’équilibrer le niveau actuel de normativité dans le projet de ligne directrice B‑13, le BSIF a adopté une approche « stratifiée » pour la présentation des attentes. Quelles que soient leur taille, leur complexité et la maturité de leur gestion du risque, les IFF doivent sans exception chercher à réaliser les cinq résultats et les principes connexes de la ligne directrice. Le BSIF estime que cette façon de faire procure une marge de manœuvre aux institutions, tout en leur donnant des consignes assez claires pour qu’elles en tirent avantage.
|
- La plupart des répondants ont fait diverses suggestions pour améliorer les consignes en place, tandis que d’autres estiment que les consignes et les outils actuels du BSIF (p. ex., l’outil d’autoévaluation, le préavis sur le signalement des incidents) suffisent à atténuer les risques émergents.
| - Même si l’outil d’autoévaluation en matière de cybersécurité et le préavis sur le signalement des incidents que le BSIF vient de mettre à jour sont essentiels, le BSIF ne les considère pas comme étant suffisants ou complets pour constituer une réponse face aux risques existants ou émergents. Le projet de ligne directrice B‑13 vise à combler cette lacune en traitant à la fois du risque lié aux technologiques et du cyberrisque. L’autoévaluation en matière de cybersécurité est un outil complémentaire et ne constitue pas une directive de réglementation.
|
- En général, les risques émergents peuvent être gérés efficacement à l’intérieur d’un cadre plus large de gestion du risque lié aux technologies. La préparation à l’informatique quantique exige une action collective du gouvernement, du secteur financier et du milieu de la recherche. Le BSIF devrait poursuivre ses efforts en ce sens.
| - Le BSIF accepte ce point de vue. Toutefois, il est important que les cadres de gestion du risque tiennent explicitement compte des risques découlant des technologies nouvelles ou moins éprouvées (paragraphe 1.3.2). Conformément à l’approche de neutralité technologique, le BSIF ne définit pas d’attentes relatives à l’informatique quantique.
|
| Risque lié aux tiers |
|---|
- La plupart des répondants ne croient pas qu’il y ait lieu de produire une directive distincte sur les accords avec les tiers fournisseurs de services technologiques, estimant que ces accords devraient faire partie du champ de l’examen prévu de la ligne directrice B‑10.
| - En raison de l’environnement de risque actuel, le BSIF estime qu’il est juste et nécessaire de publier quelques consignes, en complément de la
ligne directrice B‑10, sur le risque lié aux technologies et le cyberrisque des fournisseurs tiers (domaine 4). Le BSIF est toujours ouvert aux opinions des parties intéressées sur la meilleure façon de définir ces attentes, y compris dans le cadre de son examen de la ligne directrice B‑10.
|
- La plupart des répondants ont indiqué qu’il n’était pas nécessaire de produire une directive distincte la gestion du risque lié à l’infonuagique, et que toute disposition relative à l’infonuagique pourrait être intégrée à la ligne directrice B‑10.
|
| Données |
|---|
- Le BSIF ne devrait pas publier d’autres consignes sur le risque lié aux données, car les lois et les normes en vigueur protègent adéquatement les IFF. Des répondants ont recommandé au BSIF de s’inspirer des
Principes aux fins de l’agrégation des données sur les risques et de la notification des risques du Comité de Bâle sur le contrôle bancaire comme fondement de toute nouvelle attente qui pourrait s’appliquer à la totalité des IFF et non aux seules banques d’importance systémique.
| - Le BSIF continue de tenir compte du risque lié aux données relativement aux normes en vigueur et aux initiatives en cours. Il estime que certains des aspects des données (p. ex., leur protection et la prévention des pertes) sont inextricablement liés à une saine gestion du risque lié aux technologies et du cyberrisque et qu’ils méritent donc d’être visés par ces consignes.
|
- Le risque lié aux données recoupe de nombreux autres domaines de la gestion du risque (p. ex., la cybersécurité, les modèles) et les répondants ont souligné les principaux aspects du risque lié aux données (soit la qualité, la sécurité et la protection de la vie privée).
|