Mise à jour sur la cybersécurité : les ACVM publient les conclusions d’une table ronde sur la réaction aux incidents de cybersécurité

27 avril 2017

Les conclusions de la table ronde tenue par les Autorités canadiennes en valeurs mobilières (ACVM) le 27 février 2017 sur les questions de cybersécurité ont été publiées dans l’Avis du personnel du 6 avril 2017. L’Avis du personnel, qui analyse principalement l’importance de la collaboration, de la coordination et du partage d’information en réaction à un incident, fait suite à la publication cette année de l’Avis multilatéral 51-347 des ACVM, qui portait essentiellement sur l’information concernant les risques liés à la sécurité, et s’aligne sur l’Avis 11-332 du personnel des ACVM Cybersécurité (Notice 11-332), dans lequel il était réaffirmé que la cybersécurité constituait l’une des principales priorités des ACVM.

Un large éventail d’intervenants du marché canadien des valeurs mobilières ont participé à la table ronde, notamment des marchés, des chambres de compensation, des personnes inscrites, des émetteurs assujettis, des organismes de réglementation et des experts en cybersécurité. Les participants se sont penchés sur deux scénarios de cyberincident hypothétiques visant à analyser, d’une part, la manière dont ils réagiraient en cas d’incident de grande envergure et, d’autre part, à mieux comprendre les rôles joués par les entités et les organismes de réglementation en cas de cyberattaque. Conscients du fait que les cyberattaques peuvent avoir de lourdes conséquences sur d’autres organisations que celles immédiatement concernées, les participants ont conclu que la coopération, la coordination et le partage d’information sont des mesures cruciales à prendre en cas de cyberincident.

 Plus particulièrement, les participants ont débattu des cinq points suivants :

  • la réaction d’une entité victime d’un cyberincident ;
  • la réaction des entités en aval et en amont de l’entité touchée;
  • les personnes et les organisations qui devraient participer aux discussions et à la prise de décision pour coordonner la réaction à un incident touchant l’ensemble du marché;
  • l’information qui devrait être communiquée à l’interne et à l’externe;
  • les facteurs susceptibles de contribuer à la coordination, à la communication et à la collaboration.

Dans le cadre de leurs discussions, les participants ont évalué l’importance de mettre en place des plans d’intervention en cas d’incident (PII) bien pensés et faciles à comprendre, qui prennent en compte les besoins de nombreux intervenants, y compris ceux indirectement touchés par un cyberincident. À cette occasion, les participants ont établi que même si les PII sont généralement détaillés et exhaustifs relativement aux procédures internes, ils ne traitent souvent pas de la coordination et du partage d’information avec les autres intervenants. D’après les participants, il est généralement efficace de s’en remettre aux organisations existantes qui fournissent des services d’analyse et d’échange de renseignements (comme le Centre canadien de réponse aux incidents cybernétiques, la GRC, les corps policiers provinciaux, le Financial Information Sharing and Analysis Center, etc.), ainsi qu’aux réseaux de communication pair-à-pair informels; toutefois, des canaux de communication plus structurés, particulièrement s’il se produisait un incident à l’échelle du marché, pourraient améliorer la capacité d’intervention et de reprise en cas de cyberincident. Par conséquent, les participants ont reconnu qu’il est nécessaire de tester et d’actualiser les PII. Pour obtenir plus d’information au sujet des PII, voir nos publications antérieures ici et ici.

Comme il a été indiqué dans l’Avis 11-332, la cybersécurité demeurera l’une des priorités des ACVM jusqu’en 2019. Par conséquent, les membres des ACVM s’attendent à ce que les entités réglementées continuent à se conformer aux obligations prévues par la législation en valeurs mobilières, notamment qu’elles se dotent de contrôles internes de leurs systèmes et déclarent les atteintes à la sécurité, comme nous en avons discuté plus tôt cette année.

Pour plus d’information, voir l’Avis 11-336 du personnel des ACVM Résumé de la table ronde des ACVM sur les mesures à prendre en cas de cyberincident (6 avril 2017).

MISE EN GARDE : Cette publication a pour but de donner des renseignements généraux sur des questions et des nouveautés d’ordre juridique à la date indiquée. Les renseignements en cause ne sont pas des avis juridiques et ne doivent pas être traités ni invoqués comme tels. Veuillez lire notre mise en garde dans son intégralité au www.stikeman.com/avis-juridique.

Restez au fait grâce à Notre savoir