Le BSIF annonce de nouvelles exigences sur le signalement des incidents liés à la technologie et à la cybersécurité (première partie)

Le 13 août, le Bureau du surintendant des institutions financières (BSIF) a publié une mise à jour du préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité (le préavis) et des nouvelles exigences pour l’Autoévaluation en matière de cybersécurité. Ces modifications prennent toutes deux effet immédiatement. Les mises à jour visent à accroître la sensibilisation et la réponse du BSIF aux incidents liés à la technologie et à la cybersécurité dans les institutions financières fédérales (IFF).

La première partie de cette mise à jour traitera des changements apportés au préavis, notamment la réduction de la période de signalement initiale et l’élargissement de la notion d’incident à signaler. La deuxième partie traitera prochainement de l’outil d’autoévaluation fourni par le BSIF, il s’agira des premiers changements à cette partie depuis 2013.

Quels sont les changements notables?

• Portée : Dans le préavis mis à jour, la définition d’un incident de technologie ou de cybersécurité a été élargie compte tenu de la suppression d’une référence à l’importance de l’événement. Le préavis décrit maintenant les incidents à signaler comme ceux qui pourraient avoir des conséquences sur les activités normales d’une IFF. Dans la version précédente, l’incident devait avoir des conséquences importantes sur les activités de l’IFF. De plus, le préavis précédent prévoit que les incidents jugés de gravité élevée ou critique doivent être signalés au BSIF. Cette phrase a depuis été supprimée du préavis mis à jour, ce qui laisse supposer une norme inférieure concernant le moment où les incidents doivent être signalés.
• Critères de signalement : À la rubrique sur les « critères de signalement », les mots « important » et « prolongé » ont été supprimés, ce qui laisse supposer à nouveau une norme inférieure pour un incident à signaler. Le préavis tient compte également des incidents à signaler comme ceux signalés à un autre organisme fédéral ou aux forces de l’ordre, ou ayant requis l’intervention d’un conseiller interne ou externe.
• Moment du signalement initial : Le délai pour signaler un incident lié aux technologies ou à la cybersécurité passe de 72 heures à 24 heures, ou plus rapidement, si possible.
• Formulaire de déclaration : Le BSIF fournit maintenant un formulaire de signalement lié à la technologie ou à la cybersécurité dans lequel on a ajouté des directives sur le type d’information que le BSIF exige des IFF lors du signalement d’un incident, y compris les renseignements sur l’incident et les coordonnées, le site ou l'emplacement et les secteurs d’activité touchés, une description du risque et de l’incident, le niveau ou la priorité de l’incident et l’état actuel de l’incident. En remplissant le formulaire de signalement initial, les IFF doivent faire de leur mieux pour fournir le plus de renseignements possible. Lorsqu’ils ne disposent pas des détails précis au moment du signalement initial, ils doivent fournir les meilleures estimations possible.
• Signalements électroniques : Étant donné que les signalements initiaux doivent encore être faits par écrit, il est maintenant indiqué dans le préavis que les signalements doivent être effectués préférablement par voie électronique (par courriel). Lorsque l’envoi électronique n’est pas possible, un avis donné par téléphone, puis sur papier, est acceptable.
• Défaut de signaler : Le BSIF a ajouté la rubrique « Défaut de signaler » dans son préavis. Le défaut de signaler un incident lié à la technologie ou à la cybersécurité peut exposer les IFF à une surveillance accrue, notamment des activités de suivi renforcées, à leur inscription à la liste de surveillance ou à leur classement à un stade d’intervention.

Dans quelles circonstances faut-il signaler un incident?

Le BSIF recommande aux IFF de définir des niveaux de priorité et de gravité dans leur cadre de gestion interne des incidents de l’organisation. Bien qu’il ne fournisse pas de cadre modèle, le préavis contient une liste mise à jour des caractéristiques indiquant un incident à signaler, y compris, mais sans s’y limiter :

• Conséquences pour les autres IFF, répercussions sur les systèmes des IFF touchant les règlements sur les marchés financiers, les services de paiement, les conséquences sur les opérations des IFF ou le système financier canadien;
• Perturbations des systèmes et/ou des activités de l’organisation;
• Activation des équipes ou des plans de reprise après sinistre;
• Activation d’une équipe de gestion des incidents liés à la technologie ou à la cybersécurité d’une IFF; ou
• Un incident antérieur d’IFF qui a été signalé ou pour lequel une réclamation a été soumise.

Le BSIF fournit également des exemples d’incidents à signaler, notamment les cyberattaques, les défaillances technologiques aux centres de données, la compromission liée à un tiers et les menaces d’extorsion. Pour les incidents qui ne présentent pas ces caractéristiques ou qui ne correspondent pas à l’un de ces scénarios, l’IFF est invitée à consulter son chargé de surveillance désigné et à aviser le BSIF par mesure de précaution.

Quels sont les principaux points à retenir?

Le préavis du BSIF souligne l’importance du signalement des incidents par les IFF lorsqu’elles sont confrontées à un incident lié à la technologie ou à la cybersécurité. Si elles sont confrontées à un incident, les IFF devraient profiter de cette occasion pour mettre à jour et renforcer leurs politiques et procédures afin de s’assurer qu’elles et le secteur en général sont mieux équipés pour empêcher de manière proactive que de tels incidents ne se reproduisent à l’avenir.

Lorsqu’un incident survient, l’IFF doit garder à l’esprit ses obligations de signalement. Les IFF doivent d’abord signaler un incident au BSIF dans les 24 heures et garder à l’esprit la définition plus large de ce qui est maintenant considéré comme un incident à signaler. Ce signalement préliminaire doit être fait rapidement au moyen du formulaire fourni par le BSIF.

Les IFF devraient également fournir des mises à jour périodiques au BSIF sur l’incident au fur et à mesure qu’elles disposent de nouveaux renseignements, ainsi que des mises à jour de la situation, qui comprennent les mesures et les plans de correction à court et à long terme. De plus, un examen postérieur à l’incident devrait être soumis au BSIF une fois qu’un incident a été maîtrisé.

Les auteurs désirent remercier Marisa Kwan et Roxanne Caron, stagiaires, pour leur aide dans la préparation de cette actualité juridique.