Ligne directrice du BSIF en matière de gestion du risque lié aux technologies et du cyberrisque – Première partie

Le 13 juillet 2022, le Bureau du surintendant des institutions financières (BSIF) a publié la version finale de sa ligne directrice B-13 (ligne directrice) dans laquelle il énonce les attentes en matière de gestion du risque lié aux technologies et du cyberrisque pour les institutions financières fédérales (IFF), comme les banques et les sociétés d’assurance et de fiducie. Les IFF devront avoir pris les mesures voulues pour se conformer aux exigences énoncées dans la ligne directrice avant l’entrée en vigueur de celle-ci le 1er janvier 2024.

Rappelons qu’au moment de publier les lignes directrices, le BSIF a expliqué que l’une des raisons l’ayant poussé à agir tenait au fait que l’« environnement de risque a précipité la nécessité d’améliorer les consignes réglementaires à l’intention des IFF […] ». Ce raisonnement cadre avec l’orientation et les prises de position récentes du BSIF sur l’état de préparation et les mesures d’intervention en matière de cybersécurité. La ligne directrice n’a pas pour but d’imposer une approche universelle; sa mise en œuvre doit tenir compte de la structure de risque et des besoins opérationnels particuliers de l’IFF.

La ligne directrice se divise en trois grands volets :

• Le volet Gouvernance et gestion du risque énonce les attentes au chapitre de la responsabilisation formelle, du leadership et de la structure des IFF, les stratégies adoptées pour lutter contre le cyberrisque de même que le cadre de gestion du risque et la supervision de la cybersécurité.
• Le volet Activités et résilience technologiques énonce les attentes en matière de gestion des risques liés à la conception et à la mise en œuvre des actifs et services technologiques, et à leur rétablissement.
• Le volet Cybersécurité énonce les attentes en matière de gestion et de supervision du cyberrisque. 

Dans cette Actualité, nous abordons cinq éléments clés des deux premiers volets de la ligne directrice et offrons des conseils pratiques pour favoriser la conformité des IFF. Notre prochaine Actualité analysera plus en profondeur les questions de gestion des incidents, de reprise après sinistre et de cybersécurité énoncées dans la ligne directrice.

1. Répartition des ressources  

La ligne directrice fait ressortir un thème central : on s’attend à ce que les IFF mobilisent des ressources suffisantes pour gérer le risque lié aux technologies et le cyberrisque. La ligne directrice énonce non seulement des exigences concernant la mobilisation de ressources financières suffisantes, mais également en ce qui a trait à la dotation en personnel. On s’attend à ce que les IFF embauchent des experts en la matière et confient la responsabilité de la gestion du risque lié aux technologies à des cadres supérieurs au sein de l’organisation, comme le chef des technologies de l’information, le directeur de la technologie, le directeur de l’information, le chef de la cybersécurité ou le directeur de la sécurité de l’information. Ces cadres supérieurs doivent chacun avoir un rôle clairement défini et accès à une formation continue, et les IFF doivent se donner pour mission de favoriser une culture de sensibilisation dans l’ensemble de l’organisation.

La répartition des ressources constitue le principal défi qu’ont à surmonter de nombreuses entreprises (y compris les IFF). L’élaboration d’une liste détaillée des ressources requises (financières et humaines) aide à cerner plus concrètement les besoins et permet de dresser plus facilement un plan pour y arriver en ayant recours au capital humain et à d’autres parties prenantes.

2. Comprendre et gérer les actifs clés

Les IFF doivent tenir à jour un inventaire complet et courant des principaux actifs technologiques. La ligne directrice définit ainsi les actifs technologiques : « un bien corporel (matériel, infrastructure, etc.) ou incorporel (logiciel, données, information, etc.) qui permet la prestation de services technologiques et qui doit être protégé ».

L’inventaire doit indiquer les mises à jour les plus récentes de tous les actifs technologiques et l’historique des correctifs qui y ont été apportés. Les actifs technologiques doivent être classés en fonction de leur importance critique, et les plus importants d’entre eux devraient être recensés, en prenant en considération la façon dont ces actifs sont utilisés et les données qu’ils peuvent contenir. 

Des politiques et des processus devraient également être en place pour régir la destruction ou la disposition sécurisée des actifs technologiques. De plus, les IFF devraient documenter les configurations de référence approuvées pour leurs actifs technologiques et mettre en œuvre des processus permettant de repérer, d’évaluer et de corriger les écarts par rapport aux configurations de référence approuvées.

Ces démarches peuvent sembler simples en apparence, mais pour les IFF d’envergure nationale et internationale qui comptent de multiples systèmes existants et des combinaisons de TI complexes, ce genre d’exercice peut s’avérer chronophage et monopoliser de nombreuses ressources. Le BSIF s’attend néanmoins à ce que les IFF surveillent étroitement leurs actifs d’importance critique et puissent être en mesure de répondre aux demandes qui leur sont formulées à l’égard de ceux-ci en cas d’incident à déclarer lié à la technologie ou à la cybersécurité.

3. Cycle de développement des systèmes 

Parmi les autres exigences clés dont fait mention la ligne directrice figure la mise en œuvre d’un cadre du cycle de développement des systèmes (CDS). Ce processus vise à garantir la sécurité et la fonctionnalité des systèmes, tout en s’assurant que les systèmes et les logiciels fonctionnent comme prévu.

Les IFF doivent définir des processus pour chaque étape du CDS, y compris des méthodes de développement de logiciels, et établir des points de contrôle et veiller à ce que le tout soit conforme à leur cadre du CDS et à leurs politiques en matière de technologie. Au moment d’acquérir de nouveaux logiciels et systèmes, les IFF doivent également effectuer des évaluations du risque lié à la sécurité et assujettir la mise en œuvre des systèmes à des exigences de contrôle. Du point de vue de la maintenance et pour réduire au maximum la perturbation de l’environnement de production d’une IFF, les IFF doivent élaborer une norme de gestion des changements et des versions qui décrit les principaux contrôles requis pour s’assurer que les changements technologiques (y compris les changements urgents) sont mis en œuvre de manière contrôlée. Parmi les exemples de normes, notons le fait d’assurer un suivi des changements et de veiller à ce qu’une même personne ne puisse pas élaborer, autoriser, exécuter et déplacer des codes ou des versions entre les environnements de production et de mise à l’essai.

Bien que cette exigence respecte les pratiques exemplaires en vigueur dans l’industrie, le principal point à retenir est le suivant : les IFF doivent pouvoir démontrer à la satisfaction du BSIF qu’elles suivent les processus documentés en place en ce qui a trait aux cadres CDS.

4. Cadres de gouvernance et de gestion du risque

La ligne directrice insiste sur la nécessité d’élaborer des cadres réglementaires et des plans eu égard au risque lié aux technologies et aux questions de gouvernance. Les IFF doivent établir un cadre de gestion du risque lié aux technologies et du cyberrisque qui concorde avec leur cadre de gestion du risque d’entreprise. Les politiques et normes organisationnelles sont sans contredit des aspects importants de la maintenance, mais tout cadre de gestion du risque lié aux technologies et du cyberrisque doit aussi tenir compte de certains éléments clés, dont les menaces et technologies émergentes ainsi que les processus visant à assurer la reddition de comptes auprès de la haute direction. De plus, les IFF doivent établir un cadre d’architecture technologique qui répond à leurs besoins en matière de technologie, de sécurité et d’affaires et qui permet d’assurer la gouvernance, la gestion, l’évolution et la mise en œuvre uniforme de l’infrastructure TI. Les IFF doivent tenir compte de l’infrastructure, des technologies émergentes et des données pertinentes au moment d’établir ce cadre.

5. Concordance stratégique et surveillance continue

De façon générale, les IFF doivent mettre en œuvre des plans stratégiques qui s’articulent autour de buts et d’objectifs d’affaires quantifiables et évoluent en fonction des exigences sectorielles et juridiques. Ces plans stratégiques doivent tenir compte des changements prévus dans l’environnement technologique des IFF, décrire les possibilités et les menaces et indiquer les mesures prises pour rendre compte des progrès réalisés par rapport aux objectifs stratégiques. L’un des moyens permettant d’atteindre cet objectif serait d’établir un cadre organisationnel de gestion de projets à l’échelle de l’entreprise puis d’évaluer et de surveiller le rendement et les risques connexes et d’en faire rapport périodiquement.

En outre, tous les actifs technologiques doivent faire l’objet d’une surveillance et d’une maintenance. La maintenance comprend le fait d’appliquer sans délai des correctifs aux logiciels et d’examiner régulièrement le rendement des actifs technologiques. Les fournisseurs externes auxquels font appel les IFF sont également soumis à cet examen de rendement. À titre d’exemple, toute forme d’entente conclue avec des fournisseurs tiers devrait prévoir des exigences afin de s’assurer que ces derniers respectent les indicateurs de rendement et appliquent des correctifs lorsque les cibles ne sont pas atteintes.

Les IFF doivent également se faire un devoir d’examiner régulièrement l’ensemble des plans, politiques et processus pour avoir la certitude que ceux-ci concordent avec l’évolution de leur environnement technologique interne et externe respectif.