Les autorités de réglementation canadiennes actualisent les lignes directrices en matière de cybersécurité à l’intention des marchés financiers

4 octobre 2016

En réponse à l’évolution du paysage de la cybersécurité et à l’augmentation considérable du nombre de cyberattaques, les Autorités canadiennes en valeurs mobilières (les « ACVM ») ont publié l’Avis 11-332 du personnel des ACVM, Cybersécurité (l’« avis de 2016 ») qui actualise l’Avis 11-326 du personnel des ACVM, Cybersécurité publié en septembre 2013. L’avis de 2016 vise entre autres à souligner l’importance des cyberrisques, informer les parties intéressées sur les projets récents et à venir des ACVM en matière de cybersécurité, promouvoir la sensibilisation, la préparation et la résilience des marchés financiers canadiens aux cyberattaques et communiquer les attentes générales aux intervenants du marché.

Comme nous l’avons mentionné précédemment, les ACVM ont fait de la cybersécurité une priorité dans leur plan d’affaires 2016-2019. Au cours des prochains mois, les membres des ACVM comptent ré-examiner l’information fournie par les grands émetteurs au sujet des contrôles et des risques de cybersécurité et communiquer avec eux, au besoin, pour comprendre leur évaluation de l’importance des risques liés à la cybersécurité et des cyberattaques. Les membres des ACVM comptent également recueillir de façon continue des données sur les pratiques de cybersécurité des entreprises inscrites et améliorer l’échange transfrontalier d’information sur la cybersécurité entre organismes de réglementation. Les ACVM ont en outre l’intention de tenir des tables rondes sur les problèmes et les risques de la cybersécurité, les attentes en matière de réglementation et le besoin de coordination. 

Tout en signalant qu’il n’existe pas qu’une seule façon d’assurer la cybersécurité, les ACVM s’attendent à ce que les émetteurs, les personnes inscrites et les autres entités réglementées (comme les organismes d’autoréglementation et les marchés) prennent des mesures pour contrer les cybermenaces. À cet effet, les ACVM ont fourni un certain nombre de liens vers des ressources existantes en matière de cybersécurité que les intervenants du marché pourraient trouver utiles (notamment les ressources en matière de cybersécurité à l’intention des courtiers publiées par l’OCRCVM l’année dernière). Selon ces ressources, il existe plusieurs mesures qu’une entité peut prendre pour veiller à sa cybersécurité, notamment les suivantes :

  • gérer la cybersécurité au niveau organisationnel et attribuer au conseil la responsabilité de la gouvernance avec obligation de rendre des comptes ;
  • encadrer ses activités de cybersécurité selon les principes suivants : Identifier, Protéger, Détecter, Intervenir et Récupérer ;
  • établir et maintenir un programme rigoureux de sensibilisation à la cybersécurité à l’intention de son personnel ;
  • gérer l’exposition aux cyberrisques découlant du recours à des fournisseurs de services ;
  • envisager des méthodes de protection des renseignements personnels et tenir compte de toute obligation de déclarer les atteintes à la cybersécurité à un organisme de réglementation. À ce propos, comme il en a été question dans notre article précédent, puisque la réglementation sur les atteintes à la protection des données n’a pas encore été publiée, les exigences de notification de la LPRPDE canadienne ne sont pas encore en vigueur. L’Alberta est actuellement la seule province canadienne qui oblige toutes les entreprises du secteur privé à déclarer une atteinte à la sécurité des données. Le Commissaire à la protection de la vie privée du Canada encourage toutefois, depuis quelque temps, les entreprises à lui déclarer volontairement les atteintes importantes à la sécurité des renseignements et à prévenir les personnes où elles sont susceptibles de subir un préjudice ;
  • établir en temps opportun des plans de rétablissement des capacités ou des services touchés par un cyberincident.

Plus précisément, les membres des ACVM ont indiqué qu’ils s’attendaient à ce que tous les émetteurs, personnes inscrites et entités réglementées prennent certaines mesures pour contrer les cybermenaces, notamment les suivantes :

  • Émetteurs : Dans la mesure où les émetteurs établissent que les cyberrisques constituent des risques importants pour leur entreprise, les membres des ACVM s’attendent à ce qu’ils déclarent les risques de la façon la plus détaillée et précise possible.
  • Personnes inscrites : Les membres des ACVM s’attendent à ce que les personnes inscrites demeurent soucieuses d’élargir et d’actualiser leurs dispositifs de cyberprotection, notamment en suivant les lignes directrices de l’Organisme canadien de réglementation du commerce des valeurs mobilières (l’« OCRCVM ») et de l’Association canadienne des courtiers de fonds mutuels (l’« ACFM ») ; et
  • Entités réglementées : Les membres des ACVM s’attendent à ce que les entités réglementées adoptent un cadre de cybersécurité établi par un organisme de réglementation ou de normalisation adapté à leur taille et à leur importance.

Les répercussions de l’avis de 2016 concernant l’information que les émetteurs assujettis communiqueront au public dépendront probablement de la manière dont le personnel des ACVM appliquera l’avis. Il sera intéressant de voir si les ACVM suivront la voie de la Securities Exchange Commission américaine, dont le personnel, après l’adoption des lignes directrices en matière de cybersécurité en 2011, a transmis de nombreuses lettres de commentaires aux grands émetteurs assujettis leur demandant de justifier l’absence de déclarations quant aux cyberrisques et aux cyberattaques. Le cas échéant, certains grands émetteurs assujettis pourraient se faire questionner par les ACVM au sujet de leur évaluation des risques de cybersécurité, de leurs dispositifs de protection et, éventuellement, de leur plan d’intervention en cybersécurité.

Même si les ACVM ont clairement indiqué que les risques de cybersécurité importants devaient être déclarés aux investisseurs, l’avis de 2016 n’indique pas aux émetteurs assujettis comment évaluer l’importance d’un risque ni la manière et le moment de le déclarer. Les ACVM s’attendent à tout le moins à ce que les émetteurs assujettis procèdent à l’analyse de leurs principaux risques de cybersécurité, évaluent leur portée sur leur entreprise comparativement à d’autres émetteurs et personnalisent l’information qu’ils déclarent en fonction de leur propre profil de cyberrisques. Pour être en mesure de déclarer correctement leurs cyberrisques importants avant les assemblées générales prévues en 2017, les émetteurs assujettis auraient intérêt à se pencher rapidement sur l’adéquation et l’efficacité de leurs mécanismes d’évaluation des risques de cybersécurité et sur l’impact possible d’une cyberattaque sur leur entreprise.

Au bout du compte, en plus de gérer la difficulté inhérente à l’évaluation de la nature et de l’importance des cyberrisques, les émetteurs assujettis seront confrontés à un autre défi de taille : décider des faits importants qu’il convient de déclarer aux investisseurs sans pour autant dévoiler les points faibles de la société aux pirates ou l’exposer à des poursuites.

Pour de plus amples renseignements, voir l’Avis 11-332 du personnel des ACVM, Cybersécurité (27 septembre 2016).

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir