Insights Header image
Insights Header image
Insights Header image

Le BSIF ajoute la ligne directrice B-13 à sa gestion du risque lié aux technologies et du cyberrisque

26 juillet 2022 Bulletin sur la protection des données et des renseignements personnels Lecture de 4 min

Le 13 juillet 2022, le Bureau du surintendant des institutions financières (le « BSIF ») a publié sa version définitive de la Ligne directrice B-13 : Gestion du risque lié aux technologies et du cyberrisque (la « Ligne directrice B-13 »)[1]. Ayant pour but d’améliorer la résilience des institutions financières fédérales (les « IFF ») aux risques liés aux technologies et aux cyberrisques, elle s’ajoute au préavis intitulé Signalement des incidents liés à la technologie et à la cybersécurité[2] du BSIF (qui exige, entre autres, que soit signalé par écrit au superviseur en chef des IFF et à la Division du risque lié à la technologie du BSIF tout incident technologique ou de cybersécurité à signaler dans les 24 heures suivant l’incident) ainsi qu’à l’outil d’autoévaluation en matière de cybersécurité[3] (utilisé pour évaluer le degré de préparation des IFF aux atteintes à la cybersécurité), deux ressources parues en août 2021.

Le BSIF a publié une version provisoire de la Ligne directrice B-13 en novembre 2021, puis l’a retravaillée à la suite de consultations avec les principales parties prenantes. Comparativement à la version de novembre 2021, la version définitive est plus simple et moins prescriptive; ses définitions et exigences ont également été clarifiées[4].

Elle se concentre sur trois thèmes :

  1. Gouvernance et gestion du risque. Ce thème englobe les attentes du BSIF envers les IFF en ce qui concerne la définition de responsabilités et de structures claires ainsi que de stratégies et de cadres exhaustifs pour la gestion du risque lié aux technologies et du cyberrisque (les risques d’insuffisance, d’interruption, de destruction, de défaillance ou de dommages découlant de la consultation non autorisée, de la modification ou de l’utilisation malveillante des outils, ressources humaines ou processus de technologie de l’information nécessaires aux besoins opérationnels, et qui peuvent causer des pertes financières et/ou des torts à la réputation. L’accent est mis sur la présence d’un cadre de gestion du risque et d’une structure organisationnelle nécessaires pour instaurer un système de responsabilisation clair. Plus précisément, la Ligne directrice B-13 charge la haute direction de diriger les activités de sécurité des technologies et de cybersécurité des IFF, et d’assigner aux cadres supérieurs des responsabilités claires en matière de gouvernance des risques. Le BSIF appelle aussi les IFF à faire preuve d’initiative dans la prévision des risques et la préparation aux nouveaux problèmes à mesure qu’évolue la technologie.
  2. Activités technologiques et résilience. Ce thème englobe les attentes du BSIF envers les IFF relativement à la création d’un environnement technologique stable, évolutif et résilient. Cet environnement doit aussi être supervisé pour qu’il reste à jour, et appuyé par des processus d’exploitation et de sauvegarde robustes et viables. On y aborde plusieurs sujets, notamment l’architecture technologique, la gestion des actifs, la gestion de projet, le cycle de développement des systèmes, la gestion des lancements et correctifs, la gestion des problèmes, la surveillance et la reprise après sinistre.
  3. Cybersécurité. Ce thème englobe les attentes du BSIF quant à l’adoption d’une optique de sécurité à l’égard de la technologie pour le maintien de la confidentialité, de l’intégrité et de la disponibilité des biens technologiques des IFF. Le BSIF appelle les IFF à faire preuve d’initiative dans la détection des risques et menaces, plutôt que de réagir passivement, et énonce les critères à respecter pour ce faire. Il énumère aussi les mesures à mettre en place pour détecter et prévenir les menaces liées aux technologies et les cybermenaces (comme l’utilisation de technologies cryptographiques solides) ainsi que pour traiter les incidents de sécurité, s’en remettre et en tirer des leçons.

Il est admis qu’il n’existe aucune méthode universelle et que les IFF doivent donc avoir la liberté de choisir la manière d’atteindre chacun de ces objectifs en fonction de leur taille, de leur profil de risques et de la nature, l’ampleur et la complexité de leurs activités.

La Ligne directrice B-13 entrera en vigueur le 1er janvier 2024, ce qui laissera aux IFF le temps de s’autoévaluer et de voir à leur conformité. Les IFF doivent l’étudier attentivement pour déterminer dans quelle mesure leurs politiques et procédures actuelles la respectent et s’il est nécessaire de les modifier d’ici l’entrée en vigueur de la Ligne directrice.

À noter que des exigences semblables ont également été élaborées à l’intention d’institutions financières sous régime provincial ces dernières années (par exemple, les lignes directrices sur la sécurité de l’information[5] en Colombie-Britannique ou le questionnaire d’autoévaluation en matière de cybersécurité[6] en Saskatchewan).

Si vous avez des questions sur la Ligne directrice B-13 ou sur la conception de programmes et politiques de cybersécurité, communiquez avec un membre du groupe Protection de la vie privée et des données.

[1] Gestion du risque lié aux technologies et du cyberrisque. En ligne. Bureau du surintendant des institutions financières (dernière modification le 13 juillet 2022).
[2] Signalement des incidents liés à la technologie et à la cybersécurité. En ligne. Bureau du surintendant des institutions financières (dernière modification le 3 septembre 2021).
[3] Autoévaluation en matière de cybersécurité. En ligne. Bureau du surintendant des institutions financières (dernière modification le 16 août 2021).
[4] Réponses du BSIF aux commentaires reçus dans le cadre de la consultation sur la version à l’étude de la ligne directrice B-13 – Gestion du risque lié aux technologies et du cyberrisque. En ligne. Bureau du surintendant des institutions financières (dernière modification le 9 juin 2022).
[5] Lignes directrices sur la sécurité de l’information. En ligne. British Columbia Financial Services Authority (dernière modification le 18 février 2021).
[6] Questionnaire d’autoévaluation en matière de cybersécurité. En ligne. Financial and Consumer Affairs Authority of Saskatchewan.

par Darcy Ammerman, Robbie Grant et ZiJian Yang (étudiant d’été en droit)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022

Perspectives (5 Posts)Voir Plus

Featured Insight

Une entreprise ordonnée de cesser l’utilisation de la technologie de reconnaissance faciale pour le contrôle des accès à ses locaux : un aperçu de la décision de la Commission d’accès à l’information du Québec

Ce bulletin donne un aperçu de la décision de la Commission d’accès à l’information du Québec d’ordonner à une entreprise de cesser l’utilisation de la technologie de reconnaissance faciale.

Lire plus
14 Fév, 2025
Featured Insight

Pouce vers le haut ou accord conclu? Une cour confirme qu’un emoji est une acceptation valide d’un contrat

Nous nous penchons sur la décision de la Cour d’appel de la Saskatchewan à savoir si un emoji « pouce vers le haut » envoyé par message texte constitue une acceptation d’un contrat.

Lire plus
13 Fév, 2025
Featured Insight

La pause dans la guerre tarifaire : utilisation judicieuse de ce sursis par les entreprises

Les entreprises canadiennes devraient se préparer aux tarifs américains, devant commencer le 4 mars 2025, en tenant compte de l’offre des drawbacks et des demandes de remise des tarifs.

Lire plus
13 Fév, 2025
Featured Insight

Le Tribunal de la concurrence s’invite au cinéma : aperçu de la décision rendue dans l’affaire d’indication de prix partiel de cineplex

Le Tribunal de la concurrence a rendu sa décision dans l’affaire Commissaire de la concurrence c. Cineplex Inc., appliquant pour la première fois les dispositions relatives à l’« indication de prix partiel ».

Lire plus
13 Fév, 2025
Featured Insight

Préparez-vous (double mise à jour)! Le Canada introduit une feuille de route proposée visant à prolonger la durée de vie des plastiques contenus dans les produits électroniques et une norme de recyclage des plastiques

Préparez-vous (double mise à jour)! Le Canada introduit une feuille de route proposée visant à prolonger la durée de vie des plastiques contenus dans les produits électroniques et une norme de recyclage des plastiques.

Lire plus
6 Fév, 2025