Ligne directrice du BSIF en matière de gestion du risque lié aux technologies et du cyberrisque : Deuxième partie

En juillet de cette année, le Bureau du surintendant des institutions financières (BSIF) a publié la version finale de sa ligne directrice B-13 (ligne directrice) dans laquelle il énonce les attentes en matière de gestion du risque lié aux technologies et du cyberrisque pour toutes les institutions financières fédérales (IFF), comme les banques et les sociétés d’assurance et de fiducie. Les IFF devront avoir pris les mesures voulues pour se conformer aux exigences énoncées dans la ligne directrice avant l’entrée en vigueur de celle-ci le 1^er janvier 2024.

Dans notre publication précédente concernant cette ligne directrice, nous avons abordé les principaux thèmes et les astuces pratiques dont il est question dans les deux premiers volets de la ligne directrice, soit i) Gouvernance et gestion du risque, et ii) Activités et résilience technologiques. Dans la présente actualité, nous nous pencherons sur certaines des principales obligations énoncées dans la ligne directrice concernant la gestion des incidents et des problèmes, la reprise après sinistre et la cybersécurité. 

Identification et évaluation des faiblesses en matière de cybersécurité

L’une des principales exigences énoncées dans la ligne directrice est la nécessité pour les IFF de mettre en œuvre des processus en vue d’identifier et d’évaluer efficacement les incidents technologiques, les cybermenaces et les vulnérabilités de sécurité.

En outre, on s’attend à ce que les IFF définissent des procédures de gestion des incidents claires, réactives et fondées sur le risque. Ces procédures doivent définir des normes permettant de recenser et de classer les incidents en fonction de leurs répercussions sur les services opérationnels. Pour y arriver, les IFF doivent établir une taxonomie des cyberincidents qui comprend des volets de classification fondés, par exemple, sur la gravité, la catégorie, le type et la cause profonde. 

On s’attend également à ce que les IFF assurent continuellement une connaissance situationnelle des menaces qui touchent directement leurs actifs technologiques et des vulnérabilités de ceux-ci. Le BSIF souligne dans la ligne directrice que les menaces doivent être repérées proactivement en effectuant des évaluations des menaces et/ou en s’abonnant à des sources d’information sur les menaces fiables (c.-à-d. des services de renseignements sur les menaces).

Une fois repérées, les menaces et les vulnérabilités doivent ensuite être classifiées selon le niveau de gravité et l’exposition au risque des actifs technologiques de l’IFF. Pour repérer les vulnérabilités, les IFF doivent définir et mettre en œuvre des processus pour effectuer des évaluations de la vulnérabilité (p. ex., tests d’intrusion et évaluations de la vulnérabilité) de ses actifs technologiques de façon régulière. La portée, la fréquence et l’incidence potentielle de tels tests doivent être définies clairement par l’IFF.

L’identification et l’évaluation proactives des vulnérabilités en matière de cybersécurité permettront aux IFF de mettre en place des mesures correctives sans délai et en respectant un ordre de priorité, et les aideront à prévenir les cyberincidents importants.

Entre autres obligations, la ligne directrice exige que les IFF établissent et tiennent à jour un programme organisationnel de reprise après sinistre (PORAS) qui énonce l’approche de l’IFF en ce qui a trait au rétablissement des services technologiques pendant une perturbation. Un PORAS efficace nécessite l’élaboration de procédures et de capacités de rétablissement des services technologiques à un niveau acceptable en temps opportun à la suite d’une perturbation. La ligne directrice ne présente pas d’indications de base concernant le niveau et le délai acceptables, mais indique qu’il incombe plutôt aux IFF de les définir.

La ligne directrice met l’accent sur la nécessité d’effectuer régulièrement des tests pour veiller à ce que les procédures de gestion des incidents et le PORAS fonctionnent efficacement, et que les vulnérabilités liées à la cybersécurité sont repérées et traitées proactivement. Les tests doivent porter sur les capacités de sauvegarde et de rétablissement ainsi que sur les technologies essentielles de tiers et les points d’intégration. Les scénarios de test doivent être prospectifs et prendre en compte i) les risques ou menaces nouveaux et émergents, ii) les changements importants apportés aux objectifs opérationnels ou aux technologies, iii) les situations qui peuvent entraîner une panne prolongée et iv) l’historique des incidents et les faiblesses technologiques connues.

Contrôles de cybersécurité préventifs

La ligne directrice recommande que les contrôles de cybersécurité soient multicouches et conçus de manière à être préventifs plutôt que de servir à la détection – ce qui est conforme au modèle de « défense en profondeur » couramment employé par les ingénieurs en cybersécurité. Les IFF doivent envisager de déployer des couches supplémentaires de contrôles de sécurité pour leurs actifs technologiques essentiels et externes. On s’attend également à ce que les IFF minimisent leur surface d’attaque autant que possible afin d’atténuer tout risque lié à la cybersécurité.

Des contrôles doivent également être mis en œuvre afin de recenser, de classifier et de protéger les données tant structurées que non structurées en fonction de leur niveau de confidentialité. Pour contribuer à la protection des données tout au long de leur cycle de vie, les IFF doivent également mettre en œuvre des dispositifs et des contrôles de prévention de la perte des données au repos, en transit et en cours d’utilisation.

Dans la mesure du possible, les IFF sont tenues de tenir à jour des modèles de cybersécurité pour repérer les menaces touchant leurs actifs et leurs services technologiques. Dans le cadre de l’effort de repérage proactif des menaces, la ligne directrice indique également que les IFF doivent employer des techniques manuelles (p. ex., examen par une personne plutôt que par un outil de détection automatisée) pour repérer et isoler les menaces qui pourraient ne pas être détectées par des moyens automatisés.

En plus des contrôles technologiques, des contrôles et des processus d’accès physique doivent être mis en œuvre pour protéger l’infrastructure réseau et les autres actifs technologiques contre l’accès non autorisé et les dangers environnementaux.

Bien que les politiques soient importantes, veiller à la mise en œuvre de contrôles adéquats joue un rôle crucial dans la protection contre les cyberincidents.

Apprentissage et amélioration continus

La ligne directrice exige des IFF l’établissement de processus et de procédures pour un apprentissage et une amélioration continus, notamment l’apprentissage tiré des incidents de sécurité. 

Comme il est énoncé dans la ligne directrice, on s’attend à ce que les IFF procèdent à des enquêtes postérieures à l’incident à l’égard des incidents qui ont pu exposer les actifs technologiques à un risque important. Selon la gravité de l’incident, les IFF pourraient devoir effectuer une évaluation postérieure à l’incident détaillée pour établir les répercussions de l’incident et sa cause profonde. L’analyse de la cause profonde doit répertorier et évaluer toutes les menaces, faiblesses et vulnérabilités touchant les personnes, les processus, la technologie et les données. Les IFF sont tenues d’utiliser les conclusions tirées des enquêtes postérieures à l’incident pour déterminer les mesures correctives à apporter et améliorer les procédures de gestion des incidents.

Les processus visant la surveillance et l’amélioration continues sont essentiels pour qu’une IFF puisse se conformer à la ligne directrice.

Les auteurs souhaitent remercier Sandeep Patel, étudiant en droit, pour son aide dans la préparation de cette actualité juridique.