Les ACVM publient leurs attentes en matière de communication de l’information sur les risques liés à la cybersécurité

21 février 2017

Les Autorités canadiennes en valeurs mobilières (ACVM) ont passé en revue l’information obtenue auprès des entreprises qui composent l’indice composé S&P/TSX concernant les risques liés à la cybersécurité et en sont arrivées à des conclusions, que l’Autorité des marchés financiers, la Commission des valeurs mobilières de l’Ontario et la Commission des valeurs mobilières de la Colombie‑Britannique ont récemment rendues publiques dans l’Avis multilatéral 51‑347 du personnel des ACVM (l’Avis). Principalement axé sur l’information concernant les facteurs de risque liés à la cybersécurité et aux cyberincidents, l’examen effectué par les ACVM fait suite à la publication l’an dernier de l’Avis 11‑332 du personnel des ACVM Cybersécurité, lequel réitérait le fait que la cybersécurité demeurait l’une despriorités des ACVM d’ici 2019.

Information sur les facteurs de risque

En ce qui a trait à l’information sur les facteurs de risque, les ACVM ont ciblé trois thèmes :

  • l’information sur les risques liés à la cybersécurité;
  • l’information sur les répercussions possibles des cyberincidents;
  • l’information sur la gouvernance et l’atténuation des risques liés à la cybersécurité.

Les ACVM ont constaté que 61 % des émetteurs échantillonnés abordaient la cybersécurité dans l’information sur les facteurs de risque. De façon générale, les émetteurs ont affirmé que leur dépendance envers les systèmes de technologie de l’information les rendait vulnérables aux atteintes à la cybersécurité et ont reconnu que la cybersécurité représentait un risque important pour leurs activités. Toutefois, seuls quelques émetteurs ont fourni de l’information détaillée sur leur vulnérabilité aux cyberincidents, laquelle information peut comprendre, par exemple, pour un émetteur donné, les raisons pour lesquelles il est plus vulnérable aux risques liés à la cybersécurité que les autres émetteurs exerçant des activités dans le même secteur ou encore une description des facteurs susceptibles d’accroître sa vulnérabilité.

Les ACVM ont formulé des lignes directrices concernant l’information sur les facteurs de risque :

  • Les émetteurs devraient se concentrer sur l’information importante et propre à leur entreprise, éviter les phrases toutes faites et tenir compte de leur situation particulière. Les ACVM s’attendent à ce que l’information fournie permette aux investisseurs de distinguer les risques liés à la cybersécurité d’un émetteur en particulier par rapport aux autres émetteurs, en ce qui a trait à son niveau d’exposition et de préparation et en fonction de l’incidence de ces risques sur lui.
  • Les émetteurs devraient se pencher sur les types de cyberattaques auxquels ils sont exposés ainsi que sur les façons dont ils y seront vraisemblablement exposés. Les ACVM ne s’attendent pas à ce que les émetteurs divulguent des détails sur leur stratégie en matière de cybersécurité ou sur leur vulnérabilité aux cyberattaques qui seraient sensibles ou pourraient compromettre leur cybersécurité. Comme nous en avons déjà discuté, trouver le parfait équilibre, en divulguant tous les faits pertinents et importants aux investisseurs, sans toutefois exposer entièrement les vulnérabilités d’un émetteur, n’est pas simple. La ligne est mince entre une divulgation insuffisante et une divulgation excessive. Il sera intéressant de voir si les émetteurs invoqueront l’exception relative à l’information « sensible ou préjudiciable » pour justifier un flou éventuel dans leur communication de l’information sur les risques liés à la cybersécurité et, s’ils le font, comment ils le feront ainsi que, le cas échéant, quelles mesures prendront les ACVM, notamment publier d’autres lignes directrices ou encore établir un cadre pour aider les émetteurs à déterminer si un risque ou un fait doit être divulgué ou non.
  • Dans l’établissement de l’information sur les facteurs de risque liés à la cybersécurité qu’ils devront fournir, les émetteurs devraient examiner la source et la nature des risques, les conséquences éventuelles d’une cyberatteinte, le caractère adéquat des mesures préventives, la façon dont ils comptent atténuer les risques (notamment par le maintien d’une couverture d’assurance à l’égard des cyberattaques ou en faisant appel à des tiers experts), leur structure en matière de gouvernance, l’entité responsable de leur stratégie en matière de cybersécurité ainsi que les stratégies éventuellement mises en œuvre pour atténuer les risques, comme adopter un plan d’intervention en cas d’incident, élaborer une politique en matière de cybersécurité ou offrir de la formation à leurs employés, et, dans la mesure applicable, ils devraient fournir des détails à cet égard dans l’information sur les facteurs de risque.
  • Les ACVM s’attendent à ce que les émetteurs tenus d’établir et de maintenir des contrôles et des procédures en vertu du Règlement 52‑109sur l’attestation de l’information présentée dans les documents annuels et intermédiaires des émetteurs les appliquent aux cyberincidents ciblés pour s’assurer qu’ils soient communiqués à la direction et que la décision de les déclarer et, le cas échéant, quant à l’information à fournir, soit prise rapidement. En réponse à la demande croissante des investisseurs d’obtenir de l’information concernant l’efficacité du programme de gestion des risques liés à la cybersécurité mis en place par les entreprises dans lesquelles ils investissent, l’American Institute of Chartered Public Accountants est en train d’élaborer une nouvelle ligne directrice sur laquelle les comptables professionnels agréés pourront s’appuyer pour aider les conseils d’administration, les hauts dirigeants et les autres parties intéressées à évaluer l’efficacité du programme de gestion des risques liés à la cybersécurité d’une entreprise.

Information sur les cyberincidents

Bien que les résultats d’un sondage publiés récemment indiquent que le nombre de cyberincidents a considérablement augmenté au cours des dernières années au Canada, les ACVM ont constaté qu’aucun des 240 émetteurs échantillonnés n’a indiqué avoir fait l’objet d’une cyberattaque qu’il jugeait importante. Ce constat n’est pas très étonnant, puisqu’on observe le même phénomène aux États‑Unis; depuis 2010, seulement 95 des 9 000 sociétés ouvertes constituées aux États‑Unis ont déclaré à la SEC avoir subi une atteinte à la protection des données, alors que le nombre d’atteintes ou de piratages ayant ciblé des sociétés américaines a atteint 2 642 pendant la même période.

Comme il est mentionné dans l’Avis, la législation sur la protection des renseignements personnels ou toute autre législation peut exiger que les émetteurs déclarent à certaines personnes les atteintes à la cybersécurité dans certains cas, ou les en avisent, sans nécessairement qu’ils soient tenus de le faire en vertu de la législation en valeurs mobilières. Lorsqu’ils évaluent s’ils doivent déclarer un cyberincident dans leurs documents d’information, les émetteurs devraient tenir compte du critère de l’« importance relative » établi par la législation en valeurs mobilières ainsi que de la jurisprudence afin de déterminer si un cyberincident constitue un « fait important » ou un « changement important » et, le cas échéant, déterminer quand il convient de divulguer le cyberincident en question. Il y a lieu de se reporter à l’Instruction 51‑201 Lignes directrices en matière de communication de l’information pour des directives à ce chapitre.

Les ACVM mentionnent par ailleurs que, pour déterminer si un cyberincident est « important », les émetteurs devraient notamment prendre en compte ce qui suit :

  • le moment auquel a eu lieu le cyberincident;
  • l’importance de l’atteinte pour l’émetteur (les répercussions financières de l’atteinte par rapport aux produits d’exploitation et au bénéfice de l’émetteur, etc.);
  • la communication de renseignements personnels, confidentiels ou sensibles.

Quant au moment où l’information sur un cyberincident devrait être fournie, les ACVM sont conscientes que ce type d’incident peut n’être détecté que beaucoup plus tard, et qu’il peut être long d’en évaluer les conséquences de façon approfondie. La détermination de l’importance d’un incident est un processus dynamique se déroulant tout au long des phases de détection et d’évaluation de l’incident et de mise en place des mesures correctives.

Déterminer si un cyberincident doit être déclaré ou non en vertu de la législation en valeurs mobilières dépend du regard que porte chaque émetteur sur l’incident en question. Toutefois, les décisions que prendront les émetteurs risquent d’être scrutées par les investisseurs et les organismes de réglementation qui réclament une plus grande transparence à cet égard. Il sera donc intéressant de voir si les investisseurs institutionnels et les organismes de réglementation vont insister davantage sur la communication de l’information sur les risques liés à la cybersécurité pendant la prochaine saison des circulaires de sollicitation de procurations et, le cas échéant, de quelle façon ils le feront. Aux États‑Unis, la SEC n’a toujours pas pris de mesures d’application de la réglementation contre un émetteur qui aurait omis de déclarer un cyberincident; cependant, elle a envoyé des lettres d’observations à plusieurs importants émetteurs assujettis qui avaient déclaré un cyberincident, leur demandant notamment de préciser s’il y avait eu atteinte à la protection des données, quelles mesures ils avaient prises à la suite de ces atteintes et d’autres renseignements sur les raisons pour lesquelles certains émetteurs estimaient que les atteintes qu’ils avaient subies n’étaient pas suffisamment importantes pour être divulguées. Comme la déclaration des cyberincidents sera bientôt obligatoire en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et que l’information sur les cyberincidents réels sera dorénavant accessible au public, nous pouvons nous attendre à ce qu’un contrôle plus strict soit exercé.

Pour de plus amples renseignements, se reporter à l’Avis multilatéral 51-347 du personnel des ACVM Information sur les risques et les incidents liés à la cybersécurité (19 janvier 2017).

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir