Les ACVM publient des lignes directrices sur les pratiques en matière de cybersécurité et de médias sociaux des sociétés inscrites après examen de leurs pratiques actuelles

1 novembre 2017

En 2017, les Autorités canadiennes en valeurs mobilières (les « ACVM ») se sont penchées attentivement sur les questions de cybersécurité, sujet sur lequel elles ont diffusé un certain nombre de publications jusqu’à présent. Le 19 octobre dernier, les ACVM ont publié l’Avis 33-321 du personnel des ACVM Cybersécurité et médias sociaux (l’« avis du personnel »), dans lequel elles présentent les résultats de leur sondage sur les pratiques en matière de cybersécurité et de médias sociaux mené auprès de 630 sociétés inscrites. L’avis présente un portrait des pratiques actuelles dans le domaine et comprend également des lignes directrices qui préconisent des politiques et procédures applicables à la cybersécurité et aux médias sociaux. L’avis rappelle aux sociétés inscrites qu’elles sont tenues d’adopter des pratiques en matière de cybersécurité et de médias sociaux qui prévoient des mesures préventives, la formation de tous les employés et un plan d’intervention en cas de cyberincident.

Contexte

Le sondage des ACVM a été mené en raison de l’augmentation des risques que présentent les cybermenaces et les médias sociaux pour les sociétés inscrites. Les ACVM affirment que l’exigence prévue dans le Règlement 31-103 sur les obligations et dispenses d'inscription et les obligations continues des personnes inscrites (Règlement 31-103), selon laquelle une société inscrite doit instaurer un système de contrôles et de supervision capable de garantir la conformité à la législation en valeurs mobilières et de gérer les risques liés à ses activités, s’applique aux risques associés aux cybermenaces et à l’utilisation des médias sociaux, auxquels, d’après les ACVM, toutes les sociétés inscrites sont exposées.

Dans l’Avis 11-332 du personnel des ACVM Cybersécurité, publié en octobre 2016, dont nous avons déjà discuté ici, les ACVM soulignent la nécessité de gérer les cyberrisques et précisent qu’elles s’attendent à ce que les sociétés inscrites établissent des mesures de protection pour se protéger elles-mêmes et protéger leurs clients contre les cybermenaces et qu’elles mettent en œuvre et actualisent ces mesures. De plus, dans l’Avis 31-325 du personnel des ACVM Pratiques de commercialisation des gestionnaires de portefeuille, que nous avons abordé ici (en anglais seulement), les ACVM mettent en lumière les enjeux auxquels sont confrontées les sociétés inscrites lorsqu’elles utilisent les médias sociaux comme moyen de communication, notamment le fait que les plateformes de réseaux sociaux rendent difficile la tenue de dossiers adéquats sur les activités commerciales et les communications avec les clients, comme l’exige le Règlement 31-103. L’utilisation de telles plateformes peut par ailleurs servir de points d’entrée aux pirates informatiques pour s’infiltrer dans les réseaux des sociétés.

Résultats

Les résultats publiés dans l’avis du personnel révèlent notamment ce qui suit :

  • Cyberattaques. En 2016, environ 51 % des sociétés sondées ont fait l’objet d’un cyberincident.
  • Politiques et procédures en matière de cybersécurité. Seulement 57 % des sociétés sondées disposent de politiques et de procédures précisément liées à la continuité de leurs activités durant un cyberincident et seulement 56 % ont adopté des politiques et des procédures relatives à la formation de leurs employés au sujet de la cybersécurité.
  • Formation. Les sociétés qui offrent de la formation à leurs employés mettent l’accent sur les courriels ou les liens douteux (70 %), sur les saines pratiques en matière de mots de passe (68 %) et sur l’utilisation sécuritaire des logiciels et du matériel informatique (60 %). D’autres sujets traités dans le cadre de ces programmes de formation comprennent le piratage (59 %) et le téléchargement ou l’installation de logiciels ou d’applications (58 %). Enfin, 18 % des sociétés ont affirmé ne pas offrir de formation précise à leurs employés concernant la cybersécurité.
  • Évaluation des risques. Toutes les sociétés sondées, à l’exception de 14 %, ont déclaré procéder à une évaluation des risques au moins annuellement pour cerner les cybermenaces, si ce n’est pas plus fréquemment.
  • Plan d’intervention en cas de cyberincident. La majorité des sociétés qui ont adopté un plan d’intervention en cas de cyberincident le soumettent à un essai au moins une fois par année. Toutefois, 25 % des sociétés n’ont pas encore soumis leur plan d’intervention en cas de cyberincident à un essai.
  • Contrôle diligent. Un nombre considérable de sociétés sondées (92 %) ont fait appel à des tiers, à des consultants ou à d’autres fournisseurs de services. La majorité d’entre elles ont effectué un contrôle diligent des pratiques adoptées par ces tierces parties en matière de cybersécurité. Or, l’ampleur du contrôle diligent effectué varie grandement; par exemple, certaines sociétés demandent aux tiers de leur remettre un exemplaire de leurs politiques et de leurs procédures relatives à leurs pratiques de cybersécurité; d’autres ajoutent des conditions relatives à la cybersécurité dans leurs conventions écrites; certaines se fient aux normes de diligence concernant la confidentialité et la protection des données et des renseignements; et enfin d’autres se fient uniquement à la réputation et à la taille des tiers sans effectuer d’examen approfondi.
  • Protection des données. Un nombre appréciable de sociétés n’ont pas recours au chiffrement pour empêcher les accès non autorisés à leurs données et renseignements sensibles. Quant aux autres sociétés sondées, elles utilisent des solutions de chiffrement pour différents appareils, notamment les ordinateurs de bureaux, les courriels et les appareils électroniques portatifs.
  • Assurance. La majorité des sociétés (59 %) ne détiennent pas d’assurance relative à la cybersécurité, et ce, même si 51 % d’entre elles ont fait l’objet d’un cyberincident en 2016. Par ailleurs, le type d’incidents et les montants couverts par ces polices varient grandement parmi les sociétés ayant souscrit ce type d’assurance.
  • Politiques et procédures relatives aux médias sociaux. La plupart des sociétés ont adopté des politiques et des procédures sur les pratiques en matière de médias sociaux, y compris des lignes directrices sur l’utilisation appropriée et inappropriée des médias sociaux (59 %) et sur le contenu autorisé, le contenu interdit et les restrictions sur le contenu créé au moyen des médias sociaux (52 %). Enfin, 36 % des sociétés sondées offrent de la formation sur l’utilisation des médias sociaux à leurs employés.
  • Surveillance des médias sociaux. Seule une minorité des sociétés sondées (14 %) surveille en temps réel les activités sur les médias sociaux. Les sociétés qui surveillent les activités sur les médias sociaux le font par le biais de contrôles ponctuels (46 %), d’examens d’échantillons de l’utilisation des médias sociaux par les employés (29 %), de méthodes fondées sur un lexique ou d’autres méthodes de recherche (11 %) ou d’un logiciel de surveillance précis (17 %).

Indications

À la lumière des résultats mentionnés précédemment, l’avis du personnel donne des indications précises à l’intention des sociétés sur la manière de prévenir et de contrer les risques associés aux cybermenaces et aux médias sociaux. Parmi les indications qui figurent dans l’avis du personnel, on compte les suivantes :

  • Politiques et procédures. Les politiques et procédures d’une société devraient être conçues pour protéger la confidentialité, l’intégrité et la disponibilité de ses données, notamment les renseignements personnels des clients. Ces politiques et procédures devraient encadrer, notamment, les éléments suivants : (i) l’utilisation des communications électroniques; (ii) l’utilisation des appareils électroniques appartenant à la société; (iii) l’assurance que les logiciels sont mis à jour en temps opportun; (iv) la déclaration de tout cyberincident au conseil d’administration. Les politiques et les procédures sur les pratiques en matière de médias sociaux devraient inclure ce qui suit : (i) des lignes directrices sur l’utilisation appropriée des médias sociaux; (ii) des procédures visant à s’assurer que le contenu affiché sur les médias sociaux est à jour; (iii) des obligations de tenue de dossiers; (iv) l’examen et l’approbation du contenu affiché sur les médias sociaux. D’autres indications sont données dans l’Avis 31-325 du personnel des ACVM.
  • Formation. Les employés étant souvent la première ligne de défense au moment d’une attaque, la société se doit d’offrir une formation adéquate sur les pratiques en matière de cybersécurité afin de parer à toute cybermenace ou à tout cyberincident. Les ACVM notent que, compte tenu du dynamisme et de la constante évolution du cybermonde, notamment la possibilité de nouvelles cybermenaces, la formation sur les pratiques en matière de cybermenaces et de cybersécurité devrait être offerte suffisamment souvent pour demeurer à jour (c’est-à-dire qu’il peut être nécessaire de l’offrir plus d’une fois par année).
  • Évaluation des risques. Une société devrait, au moins une fois par année, procéder à une évaluation des risques liés à la cybersécurité qui inclurait ce qui suit : (i) un inventaire des actifs essentiels et des données confidentielles de la société; (ii) les secteurs d’activité de la société qui sont vulnérables aux cybermenaces; (iii) les conséquences possibles des différents types de cybermenaces relevés; (iv) l’adéquation des contrôles préventifs et des plans d’intervention en cas d’incident de la société.
  • Plans d’intervention en cas d’incident. Une société devrait établir par écrit un plan d’intervention en cas de cyberincident pour répondre à un tel incident et le signaler, lequel plan devrait notamment prévoir ce qui suit : (i) les personnes chargées de communiquer le cyberincident; (ii) les personnes participant à la réponse; (iii) les procédures visant à ce que l’incident cesse de causer des dommages; (iv) l’identification des parties devant être avisées.
  • Contrôle diligent. Les conventions écrites conclues avec des parties externes devraient prévoir des dispositions relatives aux cybermenaces, notamment l’obligation que celles-ci avisent la société de tout cyberincident découlant d’un accès non autorisé à ses réseaux ou à ses données et de leur plan d’intervention pour parer à ces incidents. En outre, les sociétés ayant recours à des services infonuagiques devraient établir des procédures si des données en nuage devenaient inaccessibles.
  • Protection des données. Le chiffrement est la clé. Il protège la confidentialité des renseignements puisque seuls les utilisateurs autorisés peuvent consulter les données. Outre le chiffrement pour tous les ordinateurs et autres appareils électroniques, les ACVM insistent sur le fait que les sociétés devraient imposer l’utilisation de mots de passe (composés de différents types de caractères devant être modifiés fréquemment) pour y accéder.
  • Assurance. Une société devrait revoir ses polices d’assurance actuelles pour connaître les types de cyberincidents couverts, le cas échéant. Elle devrait envisager de souscrire une assurance supplémentaire si des éléments ne sont pas couverts par ses polices actuelles.
  • Médias sociaux. Une société devrait revoir, superviser et conserver le contenu sur les médias sociaux et avoir la capacité de l’extraire, ainsi que se doter de procédures appropriées d’approbation et de surveillance concernant les communications sur les médias sociaux. Même les sociétés ne permettant pas l’utilisation des médias sociaux à des fins commerciales devraient établir des politiques et des procédures pour surveiller toute utilisation non autorisée. Se reporter à l’Avis 31-325 du personnel des ACVM pour d’autres indications sur l’utilisation des médias sociaux.
  • Indications supplémentaires. Quelles que soient sa taille ou les fonctions imparties, toute société devrait se doter de politiques et de procédures relatives à la cybersécurité et, en particulier, d’un plan d’intervention en cas de cyberincident régulièrement soumis à des essais.

Prochaines étapes

Les ACVM ont annoncé leur intention de continuer à évaluer les pratiques des sociétés en matière de cybersécurité et de médias sociaux dans le cadre de leurs examens de la conformité. Pour ce faire, elles évalueront si les indications figurant dans l’avis du personnel sont mises en application.

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir