« La fréquence des cyberattaques a augmenté à un rythme alarmant au cours des dernières années.
En 2015 seulement, près de 500 millions d’identités ont été dévoilées à la suite d’atteintes à la protection des données »
-La Presse+, 13 octobre 2016
Au lendemain des allégations d’une cyberattaque russe sur l’élection américaine du 8 novembre 2016, la menace de cyberattaques est réelle. Parmi les entités ciblées se retrouvent entre autres : gouvernements, institutions financières, cabinets de professionnels et universités. Que ce soit pour obtenir des renseignements personnels, pour interférer avec le processus démocratique d’élections ou tout simplement pour semer le chaos par l’entremise du cyberterrorisme, les auteurs de cyberattaques se multiplient. Dans ce contexte de « cyberterreur », la cybersécurité s’impose comme une condition sine qua non à la protection du public, à celle des réseaux informatiques privés et publics, et des écosystèmes électroniques modernes.
Comme l’illustrait si bien Jennifer Stoddart, commissaire à la protection de la vie privée, en 2013 :
« Plus la quantité de renseignements personnels traités et entreposés dans le cyberespace augmente et plus la protection de la vie privée repose sur la mise en œuvre efficace de mesures de cybersécurité par les organisations. »
Les acteurs des marchés financiers étant hautement exposés aux risques d’une cyberattaque, les autorités canadiennes en valeurs mobilières, dites « ACVM », ont publié le 27 septembre 2016, l’avis 11-332 du personnel des ACVM traitant sur la Cybersécurité. Cet avis s’inscrit directement dans la mission des autorités en valeurs mobilières, soit la protection des investisseurs, le maintien de l’efficience des marchés et la réduction du risque systémique.
L’avis 11-332 vise, en premier lieu, à améliorer la communication et la collaboration des participants des marchés en ce qui a trait à la cybersécurité. En agissant ainsi, les ACVM souhaitent assurer la compréhension des participants aux marchés quant à leurs attentes en matière de cybersécurité et des activités de surveillance s’y rattachant.
Ces attentes visent les émetteurs, les personnes inscrites et les entités réglementées. Les ACVM s’attendent ainsi de l’émetteur, vulnérable aux « cyber risques », qu’il fournisse des informations précises sur ces risques. Elles exigent également que les émetteurs identifient des facteurs à évaluer, dans l’éventualité d’une cyberattaque, pour déterminer quelle information doit être « rendue publique, à quel moment et de quelle façon. »
Pour les personnes inscrites, les autorités souhaitent que les mesures de cybersécurité établies soient maintenues et elles leur conseillent prudence et vigilance. Elles encouragent les personnes inscrites à consulter les directives émises par l’OCRCVM et l’ACFM.
Les ACVM s’attendent également des entités réglementées qu’elles vérifient leur conformité aux obligations découlant de la législation en valeurs mobilières et qu’elles s’assurent de se doter de mesures de contrôle de vérification interne et de déclarer adéquatement les intrusions à leur cyber système. Les ACVM indiquent enfin que ces mesures de sécurité devraient être proportionnelles à la taille et à l’importance des entités.
Les autorités règlementaires notent de plus qu’il est impossible d’anticiper et de prévenir chaque cyberattaque. Conséquemment, les ACVM indiquent, dans l’avis 11-332, vouloir évaluer et promouvoir la résilience, soit la capacité de résistance aux chocs. Elles précisent, sur ce sujet, que cette évaluation doit porter sur les mesures instaurées pour protéger les données personnelles des investisseurs. L’avis illustre le rôle des autorités en rappelant :
« Puisque le secteur des services financiers est une cible de choix pour les cyberattaques, les ACVM jouent un rôle central dans l’évaluation et la promotion de la préparation et de la cyber résilience auprès des participants au marché. »
En outre sur le sujet de résilience, la banque de développement du Canada « BDC » souligne d’ailleurs que les cyberattaques sont une source potentielle de risque systémique et que « [l]a bonne tenue du système financier dépend de la résilience opérationnelle collective des institutions financières […]. » Par ailleurs, il existerait potentiellement un risque de défaillance, suivant un effet domino, des institutions financières à la suite d’un manque de cyber résilience des infrastructures clefs des marchés des capitaux. Dans l’éventualité où les infrastructures de marchés financiers ne pourraient être opérationnelles, à la suite d’attaques ou de perturbations, la BDC craint que les impacts quant à la réputation découlant de ces attaques puissent miner la confiance du public. Les ACVM, par la publication de l’avis, désirent assurer que les entités règlementées seront en mesure de protéger les renseignements personnels des acteurs, de garantir la protection de la vie privée et de rester opérationnellement fonctionnelles, pendant et même après une attaque.
Les ACVM semblent être d’avis qu’en tenant des tables rondes, dont l’objet est d’échanger sur les divers risques et de promouvoir la communication de l’information, elle favorisera la compréhension de « l’environnement [des] défis et [du] degré de préparation des participants au marché et […] améliorera globalement la résilience dans [les] marchés. »
Mentionnons toutefois que la cybersécurité ne doit pas afficher comme seul objectif d’agir en amont des attaques. L’objectif de survie ne doit pas dicter les mesures de sécurité. La cybersécurité devrait davantage s’inscrire dans une logique de coopération, de transparence et de transfert d’information entre les acteurs. Une telle entraide est essentielle à la protection des infrastructures, des institutions financières et des sociétés publiques, face au risque systémique. C’est en effet sur cette notion d’entraide que l’avis 11-332, bien que peu contraignant, pourra avoir un impact concret sur les pratiques de cybersécurité.
Enfin, les bonnes pratiques de gouvernance en matière de cybersécurité ne peuvent être que bénéfiques. Il suffirait d’en glisser un mot aux actionnaires de Yahoo inc.. Notez cependant que leur réaction pourrait être assez colorée. En effet, Verizon Communications inc. n’écarte pas la possibilité d’une renégociation de l’entente de juillet 2016 avec Yahoo inc. suite à l’annonce d’une cyberattaque ayant touché 500 millions de ses comptes d’utilisateurs.