droitdu.net

Un site utilisant Plateforme OpenUM.ca

OCRCVM & Cybersécurité : La prévention par signalement… obligatoire

14 décembre 2019
Commentaires
Permalien

Le 14 novembre 2019, l’Organisme Canadien de Réglementation du Commerce des Valeurs Mobilières (OCRCVM) a publié un communiqué selon lequel « [l]es sociétés de placement réglementées par l’OCRCVM devront désormais signaler les incidents de cybersécurité ».

Il est prouvé que le secteur financier est un secteur constamment exposé à plusieurs risques qui ne cessent d’évoluer. Les autorités de régulation s’emploient à garder les zones de risques déjà identifiées sous contrôle et veillent à repérer les nouveaux risques se développant dans un milieu de plus en plus abstrait.

De plus, en nous référant à des statistiques récentes, force est de constater que la conscience des opérateurs des risques de cybercriminalité et leur coopération en vue de limiter les dégâts sont négligeables. Les statistiques exposent les points qui fragilisent les entreprises, notamment l’absence de ressources humaines et logistiques et le non-signalement des incidents

Dans un environnement menacé par le risque systémique, il est primordial d’avoir un dispositif juridico-technique permettant de contenir tout dysfonctionnement susceptible d’affecter une économie entière et ce dès les premières manifestations. 

C’est dans ce contexte que l’OCRCVM a opté pour une approche participative, appelant tous les intervenants qu’il réglemente à signaler les incidents de cybersécurité. L’OCRCVM assurerait ainsi une couverture étendue, actualisée et globale des risques rattachés à la cybersécurité des acteurs sous sa tutelle. Une stratégie très encline à rassembler le secteur financier ainsi que les secteurs voisins autour du seul objectif qu’est la défense de l’économie du Canada et de sa stabilité.

Le communiqué suscité nous informe que le signalement se fera en deux phases :

• Dans un délai de trois jours, les sociétés doivent fournir une description préliminaire de l’incident et des mesures prises; 

• Dans un délai de 30 jours, les sociétés doivent fournir un rapport d’enquête détaillé, indiquant la cause et l’étendue du problème, ainsi que les mesures prises pour réduire le risque de préjudice pour les investisseurs et la société.

La réception des signalements des incendies est de la compétence du Chef de la Conformité des Finances et des Opérations (CFO) de l’OCRCVM responsable de la société du courtier. Celui-ci aura la charge d’organiser une réunion dans les plus brefs délais afin d’évaluer préliminairement les retombées et d’établir un plan d’action. 

Qu’entend l’OCRCVM par « incident de cybersécurité »?

Pour la bonne compréhension des nouvelles règles et de leurs portées, il importe dans un premier temps de saisir la définition de l’OCRCVM quant à la notion d’incident de cybersécurité.

Cette définition est prévue par l’article 1 de la Partie I.B.1.1 de la Règle 3100

[paragraphe 3703(1) des Règles de l’OCRCVM]

:

Aux fins du présent article, un « incident de cybersécurité » comprend tout acte visant à obtenir un accès non autorisé au système informatique ou à l’information qui y est stockée d’un courtier membre, à désorganiser ce système informatique ou cette information ou à en faire mauvais usage et qui donne lieu, ou qui est raisonnablement susceptible de donner lieu, à ce qui suit : 

(i) il cause un grave préjudice à une personne, 

(ii) il a d’importantes répercussions sur une partie des activités normales du courtier membre, 

(iii) il déclenche le plan de continuité des activités ou le plan de reprise après sinistre du courtier membre, 

(iv) il oblige le courtier membre, conformément aux lois applicables, à en aviser un organisme gouvernemental, une autorité en valeurs mobilières ou un autre organisme d’autoréglementation.

 À sa lecture, nous décelons son caractère large et flexible. Dans une foire aux questions (FAQ) constituant la note d’orientation annexée  aux dispositions de l’article 1 susmentionné, l’OCRCVM justifie cette technique de rédaction par :

[…] la nature changeante et […) la diversité des cybermenaces. Les répercussions des incidents de cybersécurité sur les activités d’un courtier peuvent varier selon la nature de son modèle d’affaires et le type d’incident.

Il est vrai que la cybercriminalité connaît un essor et une diversification des procédés (vol de données, espionnage des télécommunications, investissements frauduleux, etc.). De ce fait, nous soutenons la logique derrière cette définition tout en insistant sur l’importance d’un suivi des évolutions du phénomène et de la mise à jour des règles le cas échéant. 

Toujours dans un esprit d’accompagnement et de simplification de la nouvelle obligation, L’OCRCVM ne manque pas de poser des balises pour orienter les courtiers :

La définition s’applique aux incidents qui : 

• touchent des renseignements personnels et pourraient devoir être signalés en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

• nuisent à la capacité d’un courtier de s’acquitter de ses obligations envers ses clients et contreparties des marchés financiers; 

• touchent des personnes tant physiques que morales.

L’Organisme ajoute que le courtier est dans l’obligation de signaler un incident de cybersécurité : 

si celui-ci donne lieu aux résultats énumérés dans les règles ou s’il détermine que l’incident est raisonnablement susceptible de donner lieu à de tels résultats. 

Corollairement, nous nous posons la question suivante : quels sont les critères permettant de qualifier un incident de  « raisonnablement susceptible de causer un préjudice à une personne »?

La réponse énoncée par l’OCRCVM dans la FAQ est :

Le courtier devrait faire preuve de jugement pour déterminer si un incident est raisonnablement susceptible de donner lieu à l’un ou l’autre des résultats énumérés aux alinéas (i) à (iv) de l’article 1 de la Partie I.B.1.1 de la Règle 3100 [alinéas 3703(1)(i) à (iv) des Règles de l’OCRCVM]. Un « grave préjudice » peut être causé à une personne tant physique que morale et peut comprendre un événement autre que la simple utilisation inappropriée de renseignements personnels.

Pour compléter cette réponse il faut se référer aux critères établis par l’OCRCVM  pour que le courtier puisse se situer par rapport à l’incident et décider de l’importance de ses répercussions. 

L’importance des répercussions variera d’un courtier à un autre, selon leur taille et leur modèle d’affaires. Les courtiers devraient faire preuve de jugement pour déterminer ce qui a d’« importantes répercussions » sur leurs activités normales.

Et de toutes les manières, l’Organisme précise que dans « le doute le courtier devrait communiquer avec le chef de la CFO responsable de sa société pour obtenir de l’aide. »

Somme toute, l’OCRCVM définit l’incident de cybersécurité de manière souple permettant à cette notion de s’appliquer dans le temps et dans différentes situations. Par rapport aux courtiers, l’organisme joue bien son rôle d’organe de tutelle et d’orientation en fournissant aux courtiers des critères pratiques leur permettant de détecter les événements suspicieux, mais aussi en les outillant de méthodes d’interventions accessibles et a priori efficaces.

Première phase : Le rapport de 3 jours

L’article 1 de la Partie I.B.1.1 de la Règle 3100 [paragraphe 3703(2) des Règles de l’OCRCVM] prévoit que « le courtier membre doit déclarer par écrit un incident de cybersécurité à la Société dans les trois jours civils suivant la découverte de l’incident de cybersécurité. »

Le délai de 3 jours reflète indéniablement l’urgence de ce rapport. En effet, la nature de la menace nécessite sa neutralisation dès sa détection afin de minimiser le préjudice et d’arrêter sa propagation.

Dans une situation aussi délicate, le courtier devrait faire preuve de perspicacité et éclairer l’OCRCVM qui a dressé une liste de renseignements devant être inclus dans ce rapport. Il s’agit de :

(i) une description de l’incident de cybersécurité, 

(ii) la date à laquelle, ou la période durant laquelle, l’incident de cybersécurité s’est produit et la date à laquelle le courtier membre l’a découvert, 

(iii) une évaluation provisoire de l’incident de cybersécurité, notamment le préjudice qu’il risque de causer à une personne et/ou les répercussions qu’il risque d’avoir sur les activités du courtier membre, 

(iv) la description des mesures d’intervention immédiate que le courtier membre a prises pour réduire le risque de préjudice auquel s’exposent les personnes et les répercussions sur ses activités,

(v) ) le nom et les coordonnées d’une personne physique chargée de répondre, au nom du courtier membre, aux questions de suivi de la Société au sujet de l’incident de cybersécurité.

Encore une fois, le caractère d’urgence et la finalité de diffusion de l’information sont on ne peut plus intenses lors de cette phase. En effet, la priorité est de stopper hémorragie en protégeant le marché d’un risque d’être frappé par la même attaque ou une attaque différente par le même malfaiteur.

En outre, les informations exigées pour ce rapport relèvent d’un seuil minimal de renseignement. L’Organisme déclare dans sa FAQ que « si le courtier dispose d’autres renseignements, il devrait les transmettre à l’OCRCVM. » Il est certain que la diligence du courtier à fournir des informations complémentaires au rapport de 3 jours ne fera qu’accélérer le processus.

Deuxième phase : Le rapport de 30 jours

Si « le rapport à soumettre dans le délai de trois jours vise seulement à fournir une évaluation préliminaire de l’incident », ​le rapport de 30 jours est quant à lui l’occasion de s’étaler sur les tenants et les aboutissants de l’incendie de cybersécurité.

De ce fait, dans un délai de 30 jours civils suivant l’incident, le courtier doit adresser un rapport détaillé comportant, au minimum, les informations suivantes :

(i) la description de la cause de l’incident de cybersécurité, 

(ii) une évaluation de l’étendue de l’incident de cybersécurité, notamment le nombre de personnes ayant subi un préjudice et les répercussions sur les activités du courtier membre, 

(iii) la description détaillée des mesures que le courtier membre a prises pour réduire le risque de préjudice auquel s’exposent les personnes et les répercussions sur ses activités, 

(iv) la description détaillée des mesures que le courtier membre a prises pour réparer les préjudices subis par des personnes, 

(v) les dispositions que le courtier membre a prises ou prendra pour améliorer son état de préparation à un incident de cybersécurité.

​Ces renseignements sont plus élaborés, impliquant une enquête approfondie faite par le courtier. D’ailleurs, si ce dernier a besoin d’un délai supplémentaire pour faire parvenir son rapport de 30 jours, l’OCRCVM peut lui accorder un prolongement selon les conditions suivantes :

Si le courtier a besoin de plus de temps, il devrait en aviser le chef de la CFO responsable de sa société et lui transmettre les renseignements suivants : 

• la raison pour laquelle il a besoin de plus de temps; 

• la date où il prévoit terminer le rapport à soumettre dans le délai de trente jours; 

• la date où il soumettra ce rapport. 

Si l’OCRCVM accepte de prolonger le délai, le courtier devrait le tenir au courant de l’état d’avancement de son enquête et des mesures qu’il prend.

L’Organisme est clairement conscient des contraintes que pourraient rencontrer un courtier attaqué par un incident de cybersécurité, c’est dans ce sens que la communication entre les différents intervenants demeure la première clé au dénouement de telles situations. 

Quid de l’efficacité de la nouvelle obligation de signalement?

Irene Winel, première vice-présidente à la réglementation des membres et aux stratégies de l’OCRCVM soutient que le signalement obligatoire est en mesure d’instaurer une meilleure compréhension des risques et de ses sources ce qui permettra naturellement une meilleure maîtrise et une baisse des préjudices subies par le secteur. 

Nous sommes clairement face à une approche de prévention a priori assurant la limitation du dommage s’il survient. La gestion des risques a priori est déterminante pour le secteur financier ce qui fait que l’obligation de signalement est d’autant plus opportune.

L’aspect collaboratif entre les acteurs est à louer, dans un environnement de plus en plus numérique l’échange de l’information est un véritable bouclier contre ce genre d’attaques et leurs répercussions.

Les règles sont commodes et le fait d’annexer la FAQ en tant que note d’orientation facilite encore plus la mise en place du processus. 

Par ailleurs, la nouveauté que ces modifications apportent est avérée. L’on pourrait songer à des similitudes entre l’obligation de signalement et celle de déclaration obligatoire d’une atteinte aux mesures de sécurité prévue par l’article 10.2 de la LPRPDE. Ceci dit, et comme l’a affirmé l’OCRCVM la mise en place du signalement d’un incident de cybersécurité est plus précis et davantage approprié au secteur financier. Alors que la LPRPDE évoque « un avis dans les plus brefs délais », l’OCRCVM a imposé aux courtiers un premier délai de 3 jours et un deuxième de 30 prolongeable selon la discrétion de l’organisme et sous sa surveillance. 

En conclusion, l’instauration de l’obligation de signalement mérite d’être saluée en raison de ses différentes vertus empiriques. En revanche, et malgré son caractère obligatoire, nous craignons que l’accomplissement de ses objectifs soit entravé par le manque de conscience des acteurs, par leurs sens de l’initiative et de l’intégrité du marché.

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets