Le 13 août 2021, le BSIF, le Bureau fédéral du surintendant des institutions financières, a publié de nouvelles consignes sur
Les nouvelles lignes directrices intensifient et clarifient les exigences en matière de déclaration par les institutions financières fédérales (IFF) en cas d’incidents liés à la technologie ou à la cybersécurité qui ont une incidence sur leurs activités. Les institutions financières sous réglementation fédérale comprennent, par exemple, les banques, les sociétés de fiducie et de prêt constituées en société ou agréées par le gouvernement fédéral, les sociétés d’assurance et les régimes de retraite assujettis à la surveillance fédérale. Autrement, il ne comprend pas de consignes sur les attentes du BSIF en matière de gestion des interventions en cas d’incident. Simultanément, le BSIF a publié une note d’autoévaluation à l’intention des IFF qui traite de la préparation, mettant à jour les consignes antérieures de 2013.
Aux fins de la ligne directrice, l’expression « incident technologique ou de cybersécurité » est définie comme un incident qui a une incidence ou qui pourrait avoir une incidence sur les activités d’une IFF, y compris sa confidentialité, son intégrité ou la disponibilité de ses systèmes et de ses renseignements.
« Un incident à signaler peut présenter une ou plusieurs des caractéristiques suivantes :
Une liste d’exemples à signaler est également fournie dans les lignes directrices.
L’avis initial doit être fait par écrit (par voie électronique à la Division du risque technologique du BSIF ainsi qu’au superviseur principal de l’IFF au BSIF dans les 24 heures, ou plus tôt si possible)). Le BSIF fournit des modèles de formulaires d’avis et de déclaration des faits ainsi que les consignes.
Le BSIF s’attend à ce que l’IFF touchée demeure régulièrement à jour jusqu’à ce que tous les détails sur l’incident aient été fournis, y compris les rapports sur les mesures correctives et les plans, les analyses après l’incident et les leçons apprises.
Le défaut de faire rapport entièrement ou en temps opportun peut entraîner une surveillance accrue, y compris, mais sans s’y limiter, des activités de surveillance améliorées, la liste de surveillance ou l’organisation de l’IFF.
Bien que les normes du BSIF exigent la conformité des institutions financières fédérales, elles fournissent également un indicateur des normes de sécurité raisonnables d’autres secteurs. Dans un certain sens, le relèvement de la barre en ce qui concerne la cybersécurité dans divers contextes réglementaires industriels tend également à relever la barre pour les industries non réglementées et adjacentes en ce sens que les attentes de ce qui est une réponse raisonnable à un incident de sécurité des données peuvent être élevées. Le document d’orientation est obligatoire pour les IFF, mais peut aussi être instructif pour d’autres industries.
Un membre du groupe de cybersécurité Bennett Jones Cybersecurity group ou l’un des auteurs se ferai un plaisir de vous aider avec toute question ou préoccupation.