Site Search

Menu

Secteurs d’activité

À ne pas manquer

Voice of the Consumer 2024 – Perspective canadienne

Une nouvelle ère pour la modélisation et la tarification des risques d’assurance

Gouvernements : la gestion à l’ère de l’IA

Menu

À propos de PwC

Menu

Notre mission, notre vision et nos valeurs

À ne pas manquer

Notre nouvelle cohorte d’associés

Nicolas Marcoux, chef de la direction de PwC Canada, reconnu pour son engagement envers l'avancement des femmes dans le milieu des affaires

Notre mission, notre vision et nos valeurs

Loading Results

La gestion des risques technologiques et des cyberrisques refait surface avec la publication de la ligne directrice B-13 du BSIF

Joanna Lewis Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada 05 décembre, 2022

Comment respecter ces nouvelles exigences sans grever les budgets

Le 13 juillet 2022, le Bureau du surintendant des institutions financières (BSIF) a publié la version finale de sa ligne directrice B-13, intitulée Gestion du risque lié aux technologies et du cyberrisque. Celle-ci prendra effet le 1er janvier 2024 pour laisser aux institutions financières fédérales (IFF) le temps d’évaluer leurs programmes et de les rendre conformes. Le document présente les éléments clés d’une saine gestion des risques technologiques et des cyberrisques et définit, pour chacun d’eux, des principes et des résultats attendus.

Le BSIF reconnaît que la supervision réglementaire des risques technologiques et des cyberrisques a renforcé la résilience financière des banques, notamment au Royaume-Uni et aux États-Unis. En assurant la gestion de ces risques, et donc leur résilience, les institutions financières devraient être mieux à même d’absorber tout événement lié au risque opérationnel, susceptible de causer une perturbation significative du système financier canadien. 

La ligne directrice B-13 s’inscrit par ailleurs dans une tendance à renforcer la supervision, non seulement de la part du BSIF, mais également du gouvernement fédéral canadien qui vient d’introduire deux projets de loi :

  • Le projet de loi C-27 qui contient des réformes importantes aux lois fédérales sur la protection des renseignements personnels et de nouvelles règles concernant l’intelligence artificielle.

  • Le projet de loi C- 26 qui impose de nouvelles exigences concernant la cybersécurité pour les secteurs sous réglementation fédérale et de nouvelles règles nationales de sécurité pour le secteur des télécommunications. 

Nous présentons ci-après les principales différences entre les versions préliminaire et finale de la ligne directrice B-13 et leur impact sur les entreprises, ainsi que quelques conseils sur les mesures à prendre.

Notre point de vue  

Nous pensons qu’il est prudent que le BSIF ait établi des principes et des attentes concernant la gestion des risques technologiques et du cyberrisque.

La version finale de la ligne directrice B-13 contient certains changements, ajustements et précisions. Nous les avons analysés et donnons ci-après les avantages et inconvénients selon notre point de vue.

Avantages

  • Plus simple à suivre : Le nombre des domaines d’intervention a été ramené de cinq à trois. Le domaine concernant la résilience technologique a été intégré au domaine Activités et résilience technologiques et les attentes concernant le risque lié aux tiers ont été intégrées dans une nouvelle version de la ligne directrice B-10, Ligne directrice sur la gestion du risque lié aux tiers.

  • Moins prescriptive : Il est ressorti des consultations que les attentes et les exemples donnés dans la première version étaient trop prescriptifs. Afin d’accorder plus de souplesse aux IFF, et pour tenir compte du fait que celles-ci varient en termes de taille et de nature, le BSIF a adopté une approche plus axée sur les risques dans la version finale.

  • Des définitions et des attentes plus claires : Les risques liés aux technologies et les cyberrisques étaient présentés comme deux concepts distincts dans la première version. Le BSIF a consolidé les définitions et décrit désormais le cyberrisque comme faisant globalement partie du risque lié aux technologies. 

  • Une reconnaissance des méthodes de développement modernes : Le cycle de développement des systèmes et les outils de gestion des changements comme Agile et le développement en continu ont été intégrés dans les attentes.
Inconvénients

  • Spécificité : Une ligne directrice moins prescriptive a certainement des avantages et sera bien reçue des IFF. Cependant, elle peut créer des zones grises et des situations de non-conformité qui pourraient nuire à l’efficacité des technologie et des cyber-protections. 

  • Proportionnalité : La ligne directrice B-13 ne traite pas du concept de proportionnalité, si bien qu’il sera difficile, pour les IFF petites et moyennes, de déterminer l’ampleur des investissements qu’elles devront consacrer à leur programme de gestion des risques technologiques et des cyberrisques. La proportionnalité devrait être abordée dans une nouvelle version de la ligne directrice E-21, Gestion du risque opérationnel.

Quels sont les aspects potentiellement difficiles?

Nous avons accompagné plusieurs IFF dans l’amélioration de leur cybersécurité et de leurs technologies et processus de gestion des cyberrisques, notamment à la suite des activités de supervision du BSIF. Les éléments suivants nous semblent particulièrement importants compte tenu des observations récentes du BSIF et de la complexité des mesures à prendre pour les régler :

  • Sécurité infonuagique : Les environnements multinuagiques et la gouvernance exigent que l’on tienne compte des 16 principes de la ligne directrice B-13. 

  • Gestion des données : Il faut inventorier, classer et sécuriser les données sensibles, et établir des contrôles afin de prévenir l’exfiltration.

  • Gestion des identités et des accès (GIA) : Le contrôle d’accès basé sur les rôles et les identités privilégiées prennent de plus en plus d’importance, surtout avec la multiplication des logiciels-services.

  • Cycle de développement des systèmes (CDS) : Il faudra établir des processus standardisés de « DecSecOps » (développement, sécurité, exploitation) qui contiendront des exigences de sécurité.

Les autoévaluations selon le cadre du NIST et les exigences du BSIF seront-elles utiles pour déterminer la conformité à la ligne directrice B-13?

La plupart des entreprises procèdent régulièrement à des évaluations de leur programme de cybersécurité au moyen de normes ou cadres sectoriels ou réglementaires. Il existe des chevauchements entre ces cadres et normes et la ligne directrice B-13, mais celle-ci contient des éléments qui n’étaient pas abordés dans la même mesure, particulièrement du fait qu’elle couvre l’ensemble des risques liés aux technologies et non pas seulement le cyberrisque. Le tableau suivant présente une comparaison des exigences de la ligne directrice B-13 et de celles des autres normes ou cadres connus.

Chevauchements entre la ligne directrice B-13 et les autres cadres de cybersécurité
Analyse de PwC Canada
This chart shows the degree to which B-13 covers other cybersecurity frameworks. The legend categories provided range from most coverage to least coverage and include: Not applicable, Adequate coverage, Minor gaps/lacking specificity, Substantial gaps/some coverage and Significant gaps/no coverage. The cybersecurity frameworks we are looking at in the vertical columns are: NIST CSF v1.1, OSFI Self-Assessment, OSFI Indicient Reporting and CRI Profile v1.2. Each of these cybersecurity frameworks listed vertically are being looked at relative to larger categories and sub-categories in the horizontal rows. The first larger category is Governance and Risk Management under which falls: Accountability and Organizational Structure, Technology and Cyber Strategy and Technology and Cyber Risk management Framework. The next category is for Technology Operations and Resilience, under which falls: Technology Architecture, Technology Asset management and Technology Project Management, System Development Life Cycle, Change and Release Management, Patch management, Incident and Problem Management, Technology Service Measurement and Monitoring and Disaster Recovery. The final category is for Cyber Security, under which falls: Identify, Defend, Detect, and finally Respond, Recover and Learn. Overall, we observe that there are more gaps than adequate coverage with many of the sub-categories showing minor gaps/lacking specificity, substantial gaps/some coverage or significant gaps/no coverage.

Quelles mesures prendre d’ici le 1er janvier 2024?

Comme l’illustre notre comparaison ci-dessus, les résultats des évaluations précédentes pourraient ne pas donner une bonne indication du niveau de conformité avec la ligne directrice B-13. Si certaines des IFF plus grandes et plus matures disposent peut-être déjà de programmes de gestion des risques technologiques et des cyberrisques suffisants pour répondre aux exigences du BSIF, d’autres pourraient devoir procéder à une amélioration significative dans les 14 prochains mois. 

Nous encourageons fortement les IFF à être proactives et à prendre les mesures suivantes afin d’assurer leur pleine conformité à la ligne directrice B-13 d’ici le 1er janvier 2024 :

  • Procéder à une évaluation de la situation actuelle afin de déterminer le niveau de conformité et identifier les éléments requérant une nouvelle conception ou une amélioration. Établir ensuite une liste de priorités selon les opportunités à court terme (résultats faciles et immédiats) et à long terme. 

  • Évaluer l’impact sur les parties prenantes, la disponibilité et la qualité des données et les technologies afin de mettre le programme existant à niveau et le rendre conforme. Prévoir des réunions avec la haute direction pour discuter des coûts et des budgets requis.

Contenu connexe (certains contenus seulement disponibles en anglais)

Contactez-nous

Joanna Lewis

Joanna Lewis

Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 687 9139

Linkedin Follow Courriel
Suivre PwC Canada
Les défis du moment Les défis du moment Acquisitions et désinvestissements Conformité. Stratégique. Crises Cybersécurité, protection des renseignements personnels et criminalité financière Environnement, social et gouvernance (ESG) L’avenir de la fonction Finances L’intelligence artificielle générative Les effectifs de l’avenir Prêts pour la croissance
Point de vue Point de vue Balados Blogues Conseils de gouvernance Enquête annuelle auprès des chefs de direction Hub de Risque et conformité Hub d’IA générative La technologie infonuagique, un aperçu Stratégie Villes intelligentes
Secteurs d’activité Secteurs d’activité Aérospatiale et défense Assurance Banques et marchés financiers Cannabis Divertissement et médias Énergie Énergie et services publics Gestion d’actifs et de patrimoine Investissement privé Marchés de consommation Secteur de la fabrication industrielle Secteur de l’automobile Secteur de l’immobilier Secteur des produits chimiques Secteur minier Services financiers Services gouvernementaux et services publics Soins de santé Technologie Télécommunications Transport et logistique
Services Services Alliances Conseils Données et analytique Gestion de crise et résilience Gestion de placements Mandats d'insolvabilité en cours Marchés des capitaux et services conseils en comptabilité Modélisation des risques Produits PwC Privé Réseau d’affaires japonais Risque et conformité Services d'audit et de certification Services de juricomptabilité Services fiscaux Services gérés Services juridiques Transactions
À propos de PwC À propos de PwC Alumni de PwC Canada Centre de presse Conseil d'administration Contactez-nous Éthique et code de conduite Inclusion et diversité L’approvisionnement chez PwC La Nouvelle équation Nos bureaux au Canada Nos gens Notre engagement envers la vérité et la réconciliation Notre équipe de direction canadienne Notre histoire Notre mission, notre vision et nos valeurs Nouveaux associés de 2024 Programme Femmes et leadership Responsabilité d’entreprise
Carrières au Canada Carrières au Canada Nos secteurs d’activité Carrières pour les étudiants et les nouveaux diplômés La vie chez PwC Canada Avantages sociaux, flexibilité et bien-être Communauté de talents

© 2018 - 2024 PwC. Tous droits réservés. PwC s’entend du réseau PwC et/ou d’une ou de plusieurs sociétés membres, chacune étant une entité distincte sur le plan juridique. Pour de plus amples renseignements, visitez notre site Web à l’adresse : www.pwc.com/structure.