Skip to Main Content
Brett Konyu
Directeur, Formation des membres et services aux membres
Compliance
Aux fins de distribution aux personnes concernées de votre société

Cybersécurité

Contexte

Le présent bulletin vise à aider les membres à mieux connaître et comprendre les problèmes et ressources concernant la cybersécurité et à leur fournir des orientations pour qu’ils puissent concevoir et mettre en œuvre des procédures et des mesures de contrôle à ce sujet.

La cybersécurité est un enjeu important pour tous les membres en raison du préjudice potentiel qu’ils pourraient subir et des torts qui pourraient être causés à leurs clients et au secteur des valeurs mobilières en général. Ces dommages peuvent nuire à la réputation d’un membre, l’exposer à des pertes financières et perturber gravement ses activités.

En raison de ces risques, les membres devraient établir et maintenir des procédures et des mesures de contrôle appropriées relativement à la cybersécurité afin de protéger adéquatement leurs réseaux, ordinateurs, logiciels et données contre les attaques, les dommages et l’accès non autorisé.

Qu’est-ce que la cybersécurité ?

On peut définir la cybersécurité comme étant un processus qui consiste à protéger l’information en empêchant et en décelant les attaques, les dommages et l’accès non autorisé et en luttant contre eux.

Sources de menaces de cybersécurité

Les menaces à la cybersécurité sont nombreuses et variées et proviennent autant de l’intérieur d’une entreprise qu’à l’extérieur de celle‑ci. Aux États-Unis, les sondages sur la cybersécurité réalisés par la Financial Industry Regulatory Authority (FINRA) en 2011 et 2014 ont révélé que le secteur des valeurs mobilières était exposé aux trois principales menaces suivantes :

  1. les pirates informatiques qui infiltrent les systèmes d’une entreprise;
  2. les initiés qui compromettent les données d’une entreprise ou de ses clients;
  3. les risques opérationnels.

Création d’un cadre de cybersécurité

Voici quelques notions de base sur la cybersécurité parmi les plus courantes. Les membres devraient évaluer leurs programmes de cybersécurité et y ajouter des contrôles ou des techniques de gestion du risque, lorsqu’il est opportun de le faire, compte tenu de leurs activités particulières et de leurs vulnérabilités potentielles. La cybersécurité est une responsabilité partagée. Par conséquent, les personnes, les processus, les outils et les technologies doivent travailler ensemble pour protéger l’accès aux systèmes et aux données d’une organisation et contrôler ceux‑ci. Les mesures qui conviennent à un membre de petite taille pourraient ne pas être adéquates pour un membre de plus grande envergure et vice versa.

La protection des systèmes et des données de votre organisation exige que l’on porte attention aux trois objectifs fondamentaux suivants :

  1. Confidentialité Tous les renseignements importants en votre possession doit être tenus confidentiels. Permettre l’accès à ces renseignements seulement aux personnes (ou aux systèmes) autorisées.
  2. Intégrité Maintenir l’intégrité des actifs informationnels pour qu’ils demeurent complets, intacts et non corrompus.
  3. Disponibilité Veiller à ce que les systèmes, les services et les renseignements soient disponibles au moment où l’entreprise ou ses clients en ont besoin.

Les membres devraient effectuer les fonctions suivantes relativement au cadre de cybersécurité :

  1. identifier les biens qui doivent être protégés, de même que les menaces et les risques à leur égard;
  2. protéger ces biens à l’aide de mesures de protection appropriées;
  3. détecter les intrusions, les infractions à la sécurité et l’accès non autorisé;
  4. intervenir s’il se produit un événement de cybersécurité potentiel;
  5. se remettre d’un incident de cybersécurité en évaluant l’incident, en reprenant les activités et les services habituels et en appliquant de meilleures mesures de sécurité propres à la nature de l’incident.

Lors de l’élaboration d’un cadre de cybersécurité, les membres devraient examiner chacun des domaines suivants, en prenant en considération l’envergure et la nature de leurs activités :

  • établissement d’un cadre de gouvernance et de gestion du risque, notamment la participation et le soutien du conseil et de la haute direction;
  • mise en œuvre d’une procédure d’enquête de sécurité sur le personnel et identification des menaces internes de la part d’employés et de sous‑traitants nouvellement embauchés, actuels ou qui quittent l’organisation.
  • sécurité physique pour les menaces humaines, les menaces environnementales et les menaces pour les systèmes d’approvisionnement énergétique, notamment l’adoption d’une politique de « bureau propre », la sécurité des lieux de travail et la sauvegarde des renseignements;
  • sensibilisation à la cybersécurité, notamment la formation continue obligatoire de tout le personnel sur les politiques et procédures du membre;
  • évaluation des menaces et des vulnérabilités, par des essais réguliers de vulnérabilité à l’égard des systèmes, par la mise à niveau régulière des systèmes avec des correctifs de sécurité et par l’évaluation des correctifs essentiels avant leur mise en œuvre;
  • mesures de protection des réseaux, notamment les systèmes de défense à plusieurs niveaux avec des pare-feu de nouvelle génération, le chiffrement des réseaux sans fil, la protection des réseaux et la restriction de l’accès à certains appareils à l’aide de mots de passe;
  • protection des systèmes d’information, y compris les processus de sauvegarde et de récupération, les solutions efficaces contre les logiciels malveillants et le contrôle des dispositifs externes, notamment en limitant l’accès des appareils personnels aux renseignements qui sont sensibles ou considérés comme tels;
  • gestion des comptes d’utilisateur et contrôle de l’accès, par des moyens comme les protocoles de mots de passe et les niveaux d’accès;
  • gestion des actifs, y compris la surveillance continue de l’inventaire pour l’ensemble de la technologie branchée aux systèmes du membre;
  • procédure d’intervention en cas d’incident de cybersécurité, notamment une équipe d’intervention en cas d’incident;
  • partage de l’information et déclaration des incidents ou des infractions à la sécurité, comme l’obligation d’aviser le commissaire à la protection de la vie privée de certaines infractions à la sécurité;
  • obtention d’une cyberassurance;
  • gestion des menaces que représentent les fournisseurs, qui permet de s’assurer que le niveau de risque de chaque fournisseur tiers a été convenablement évalué et réduit;
  • politique de cybersécurité, qui établit la conduite obligatoire des employés et autres parties concernées.

Ressources supplémentaires

Les documents, principes et pratiques exemplaires suivants constituent des références fondamentales :

  1. Guide de pratiques exemplaires en matière de cybersécurité (Organisme canadien de réglementation du commerce des valeurs mobilières (« OCRCVM »))
    • Contient des orientations sur le cadre de cybersécurité pour les courtiers en valeurs mobilières.
  2. Gestion des cyberincidents – Guide de planification (OCRCVM)
    • Décrit la procédure que les courtiers en valeurs mobilières peuvent suivre lorsqu’ils se remettent d’un incident de cybersécurité.
  3. Report on Cybersecurity Practices (FINRA)
    • Contient des conseils pour aider les courtiers en valeurs mobilières individuels, et le secteur en général, lors d’une intervention en cas de cybermenaces.
  4. Avis 11-326 du personnel des ACVM – Cybersécurité
    • Observations sur les mesures de protection et de sécurité que les personnes inscrites devraient mettre en œuvre pour se protéger et protéger leurs clients et les parties intéressées.
  5. Consultative Report: Guidance on Cyber Resilience for Financial Market Infrastructures
    (Conseil de l’Organisation internationale des commissions des valeurs (OICV)) – Comité sur les paiements et les infrastructures de marché)

    • Fournit des conseils à l’intention des infrastructures de marché financier pour améliorer leur cyber‑résilience dans cinq principales catégories de gestion du risque et trois domaines primordiaux.
  6. Guide Pensez cybersécurité pour les petites et moyennes entreprises (Gouvernement du Canada)
    • Offre des conseils aux Canadiens qui possèdent ou gèrent une petite ou moyenne entreprise, pour les aider à comprendre les risques de cybersécurité auxquels ils sont exposés et leur donner des conseils pratiques sur la manière de mieux protéger leur entreprise et leurs employés contre la cybercriminalité.
  7. Framework for Improving Critical Infrastructure Cybersecurity (National Institute of Standards and Technology)
    • Contient des conseils et des pratiques exemplaires sur la manière de protéger l’information et les biens contre les cyberattaques.

473665