Insights Header image
Insights Header image
Insights Header image

Institutions financières : Les obligations accrues du BSIF en matière de signalement des incidents liés à la cybersécurité sont maintenant en vigueur

Avril 2019 Bulletin Cybersécurité Lecture de 2 min

Le 24 janvier 2019, le Bureau du surintendant des institutions financières (le « BSIF ») a publié le préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité[1] (le « Préavis »), qui énonce les attentes du BSIF en ce qui concerne le signalement des incidents liés à la technologie et à la cybersécurité. Le Préavis, qui est entré en vigueur le 31 mars 2019, s’applique à toutes les institutions financières fédérales (les « IFF »).

Conformément au Préavis, les IFF sont tenues de signaler tout incident lié à la technologie ou à la cybersécurité qui « pourrait avoir des conséquences importantes sur les activités habituelles d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements ». Si une IFF estime que le niveau de gravité d’un incident est « élevé ou critique », elle doit aviser le BSIF le plus rapidement possible, et au plus tard 72 heures après avoir déterminé que l’incident devait être signalé. Pour en savoir plus sur le processus de signalement et sur ce qui le différencie des obligations de déclaration des atteintes aux mesures de sécurité prévues par la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), voir notre publication récente, « Le BSIF intensifie ses efforts en matière de cybersécurité en publiant un nouveau préavis sur le signalement des incidents liés à la technologie et à la cybersécurité ».

Afin de s’assurer que les IFF se conforment aux dispositions du Préavis et aux attentes du BSIF, nous leur recommandons de prendre plusieurs mesures, dont les suivantes :

  • adopter une approche en cascade afin de s’assurer que tous les membres de l’IFF, tant les membres de la direction et les membres du conseil que les employés, participent activement au programme de l’IFF en matière de cybersécurité et y adhèrent;
  • effectuer périodiquement des évaluations du risque, des audits de sécurité et des vérifications diligentes à l’égard des fournisseurs et des travailleurs en sous-traitance lorsqu’elles concluent des ententes avec eux (et inclure des exigences écrites dans les contrats);
  • désigner un administrateur du programme qui doit rendre compte à l’organisation;
  • élaborer des politiques et des procédures écrites, y compris, et cela est essentiel, un plan d’intervention en cas d’incident, fondé sur ce qui est mentionné ci-dessus.

La vérification régulière des contrôles internes, l’offre de programmes de formation aux membres du personnel et la mise à jour des procédures de conformité rehausseront l’efficacité de ces recommandations.

Les organisations sont invitées à consulter le document de McMillan intitulé Services d’intervention d’urgence pour obtenir plus d’information, et à communiquer avec un des membres de notre équipe pour toutes autres questions.

par Darcy Ammerman, Ryan J. Black, Grace Shaw et Alex Tyzuk (étudiant en droit)

[1] Disponible sous Signalement des incidents liés à la technologie et à la cybersécurité.

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt consulter ses propres conseillers juridiques.

© McMillan S.E.N.C.R.L., s.r.l. 2019

Perspectives (5 Posts)Voir Plus

Featured Insight

Déchiffrer le projet de loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public (Ontario)

Déchiffrer le projet de loi 194 de l’Ontario : Loi de 2024 visant à renforcer la cybersécurité et la confiance dans le secteur public. Modifications principales et stratégies de conformité expliquées en détail.

Lire plus
24 Mai, 2024
Featured Insight

Comprendre le cadre des services bancaires pour les gens : perspectives clés de la loi no 1 d’exécution du budget de 2024

Le 30 avril, le gouvernement fédéral a présenté la Loi no 1 d’exécution du budget 2024, qui fournit le cadre législatif du système bancaire ouvert au Canada.

Lire plus
16 Mai, 2024
Featured Insight

Expiration des restrictions imposées aux étudiants étrangers pour le travail hors campus : lignes directrices pour les employeurs

La dérogation temporaire accordée par le gouvernement du Canada dans le but de permettre aux étudiants étrangers de travailler plus de 20 heures par semaine a pris fin le 30 avril 2024.

Lire plus
16 Mai, 2024
Featured Insight

L’évaluation des risques juridiques : un outil essentiel de gestion des risques

Nous pouvons affirmer que la meilleure façon de régler les questions juridiques qui se posent dans toute entreprise est de concentrer les efforts sur leur détermination et leur résolution avant qu’elles ne deviennent des problèmes juridiques.

Lire plus
17 Mai, 2024
Featured Insight

Comprendre les limites du privilège juridique à la suite d’une cyberattaque : enseignements tirés de la violation des données de Lifelabs

Dans l’affaire LifeLabs LP v. Information and Privacy Commr (Ontario), la Cour a clarifié la portée limitée du privilège juridique dans le contexte des atteintes à la protection des données.

Lire plus
10 Mai, 2024