Rigueur réglementaire : gestion du risque lié aux technologies et du cyberrisque

La gestion du risque lié aux technologies et du cyberrisque est un défi permanent pour les institutions financières fédérales (IFF). Les attentes des autorités de réglementation ont considérablement augmenté au cours des dernières années. Au début de 2022, le Bureau du surintendant des institutions financières (BSIF) a publié l’ébauche de la ligne directrice B-13 : Gestion du risque lié aux technologies et du cyberrisque. La version définitive de la ligne directrice a été publiée en juillet après de vastes consultations auprès des intervenants du secteur financier.

La ligne directrice B-13 représente un changement majeur dans la façon dont BSIF établit les attentes à l’égard des institutions réglementées et dans son approche en matière de surveillance. Il s’agit de la première d’une longue série de nouvelles lignes directrices (ou entièrement révisées), qui mettent l’accent sur les résultats obtenus par les IFF. Les processus réglementés et détaillés qui faisaient partie des directives réglementaires sont chose du passé. Les IFF devront élaborer leurs propres processus détaillés en utilisant et en tirant parti des normes sectorielles en matière de technologie, de gouvernance et d’assurance qui cadrent avec leurs propres besoins opérationnels et avec les risques auxquels elles sont exposées.

Pour gérer leurs risques liés à la technologie et à la cybersécurité et répondre aux attentes du BSIF, les IFF doivent déterminer et préciser la façon dont elles obtiendront les résultats prévus de la ligne directrice B-13, au lieu de démontrer que les processus et les contrôles sont conformes à des exigences précises. Elles ont jusqu’au 1^er janvier 2024 pour le faire.

Les IFF devront évaluer leurs activités actuelles à la lumière de la nouvelle approche axée sur les résultats exigée dans le cadre de la ligne directrice B-13. Voici quelques points clés à prendre en considération dans les trois domaines qui forment la nouvelle ligne directrice et déterminer si votre institution est sur la voie de satisfaire avec succès aux exigences de la ligne directrice B-13.

Résultat souhaité : Une gouvernance du risque lié aux technologies et du cyberrisque qui repose sur des responsabilités et des structures claires ainsi que sur des stratégies et des cadres détaillés.

La gouvernance des technologies et du cyberrisque est un défi complexe et dynamique. Elle implique l’examen des actifs essentiels, les vecteurs de menace qui peuvent les toucher, ainsi que la façon de protéger l’organisation au moyen de mesures qui touchent les employés, les processus et la technologie.Une fois les mesures en place, les IFF doivent également comprendre et accepter les risques résiduels.

L’un des plus grands défis de la gouvernance est la création et le maintien d’énoncés de tolérance au risque, qui établissent les paramètres et les seuils qui, à leur tour, peuvent entraîner des réactions ou des actions (allant d’une correction de parcours pour la mise en œuvre de la technologie au signalement interne et externe d’une cyberattaque importante). Il est difficile de déterminer ce qui se trouve à l’intérieur et à l’extérieur des limites de l’appétit d’une organisation pour le risque, surtout lorsque l’on cherche le soutien et la participation de la haute direction et des conseils d’administration. La direction doit clairement définir l’appétit pour le risque et la façon dont il sera mesuré. L’une des façons les plus efficaces d’y parvenir consiste à adopter une approche qualitative des énoncés d’appétit pour le risque qui exige l’utilisation de mesures de soutien. Les limites, les seuils, les niveaux de tolérance au risque et les structures décisionnelles en place doivent être exhaustifs et axés sur les données, mais suffisamment simples pour que l’organisation puisse les utiliser dans ses activités courantes.

De plus, les IFF doivent être en mesure de démontrer sur quoi est fondé leur cadre de gestion du cyberrisque, comme NIST 800-53 ou ISO 27005, ainsi que la façon dont ces approches fonctionnent dans le cadre de la gestion du risque d’entreprise particulier de l’organisation. Les modifications qu’elles apportent au cadre de gestion du cyberrisque doivent être retraçables, et elles doivent consigner les mesures prises afin de pouvoir les démontrer. Cela signifie que des pratiques documentées ont été mises en place, non seulement pour les éléments matures, mais aussi pour les processus plus récents ou informels qui pourraient ne pas être aussi matures ou qui ne sont pas encore utilisés. Les organismes de réglementation comprendront mieux les défis que les organisations pourront clairement décrire ce qui est fait pour y faire face et la façon dont ces mesures contribuent aux résultats escomptés, en particulier dans les cas où des solutions sont en cours d’élaboration.

Résultat souhaité : Un environnement technologique stable, évolutif et résilient, tenu à jour et soutenu par des processus d’exploitation et de reprise technologiques robustes et durables.

À mesure que les IFF évaluent leurs solutions technologiques, elles doivent se concentrer sur la façon dont elles interagissent en tant qu’écosystème qui donne les résultats escomptés. Le recours à la technologie est chose courante depuis des décennies auprès des IFF dotées d’actifs et de systèmes d’une importance capitale pour l’organisation. En conséquence, de nombreuses applications existantes demeurent hébergées sur des serveurs qui ne sont plus pris en charge par les fournisseurs et qui ne peuvent pas être corrigées en réponse à des menaces naissantes ou émergentes. Le transfert de nombreuses applications vers le nuage ou vers une autre architecture de serveur est difficile en raison de la nécessité d’être disponible en tout temps.

En outre, les risques inhérents aux actifs technologiques s’étendent bien au-delà de l’environnement réel de l’application, par exemple :

• Qui est responsable des risques associés aux données?
• Qui est responsable des risques associés à la sauvegarde?
• Qui est responsable des risques associés aux périphériques (p. ex., les serveurs, les ordinateurs de bureau, les imprimantes)?

Les attentes globales et axées sur les résultats de la ligne directrice B-13 signifient que les IFF pourraient devoir reconsidérer le cycle de développement de systèmes sécurisés. Celui-ci a habituellement pour objectif l’élaboration de systèmes et de logiciels de la plus haute qualité au moindre coût et en un minimum de temps. Il doit être fondé sur des exigences de sécurité solides et établir des pratiques liées à l’intégration d’opérations de développement et de sécurité ainsi que des opérations technologiques afin que de nouveaux logiciels puissent être déployés tout en ne compromettant pas la sécurité de l’application. Les systèmes et logiciels acquis doivent faire l’objet d’évaluations des risques à la sécurité, et des normes de codage bien définies doivent être en place pour que les codes soient sûrs et stables.

Toutes ces opérations doivent être soutenues par des processus de gestion des changements et des versions ainsi que des pratiques de gestion des correctifs robustes. Ces processus devraient comprendre des protocoles de test pour tous les changements apportés à la technologie des IFF et pour assurer que des correctifs y sont appliqués pour traiter toutes les vulnérabilités et les défauts en temps opportun.

Les capacités d’intervention en cas d’incident, qui sont étroitement liées à la continuité des activités et à la reprise après sinistre, sont également un indicateur solide de la résilience globale des IFF au risque technologique. Cela va au-delà de la cybersécurité : pensons notamment aux répercussions d’événements récents au Canada, tels que les feux de forêt, les inondations et la pandémie de COVID-19. La mise en place d’un scénario d’intervention réaliste en cas d’incident et de reprise après sinistre est donc essentielle. Celui-ci devrait comprendre des tests effectués à plusieurs niveaux de l’organisation, dont l’exploitation, la direction et la haute direction.

Résultat souhaité : Une posture technologique sûre, qui protège la confidentialité, l’intégrité et la disponibilité des actifs technologiques de l’IFF.

La défense d’une organisation contre les cyberincidents comprend l’identification des menaces et des risques au moyen de renseignements, d’outils et d’évaluations rigoureux. Les IFF font souvent appel à un centre des opérations de sécurité interne ou externe pour l’exécution de ces tâches. Les tests de détection et d’identification de la vulnérabilité devraient être effectués au moyen d’analyses et de tests réguliers, comme des tests de pénétration et des tests de simulation de cyberattaque. Cette analyse n’est utile que si les IFF comprennent quels systèmes et données sont essentiels à l’exploitation, où ils se trouvent et quelles mesures sont en place pour les protéger.

Le modèle de la défense en profondeur n’est pas nouveau et il est plus pertinent que jamais compte tenu des attentes de la ligne directrice B-13. Les IFF doivent s’attendre à ce que certains contrôles échouent ou soient compromis. À cette fin, il devrait y avoir des contrôles dans les couches entourant le réseau, le système et les données, y compris la capacité de contenir des cyberincidents lorsque quelque chose tourne mal. Les contrôles logiques et physiques doivent être rigoureux et régulièrement revus afin que seules les personnes autorisées aient accès à l’information pertinente, au moment opportun.

Les IFF doivent pouvoir démontrer les mesures qu’elles ont prises en réponse à un incident et avoir mis en place des processus pour effectuer une analyse des causes profondes. Ces activités essentielles doivent guider l’évolution du cadre de gestion des risques des IFF. La gestion des technologies et du cyberrisque est donc un processus cyclique : établir la stratégie, assurer une surveillance, gérer les risques et y répondre et apporter des modifications à la stratégie au besoin, selon le résultat obtenu.

Le cadre de gestion des risques efficace a-t-il permis à l'IFF de cerner les actifs essentiels et les risques propres à l'organisation?

L'IFF sait-elle quelles données sont stockées dans le nuage et comment elles sont protégées?

L’IFF a-t-elle mis à jour son énoncé relatif son appétit pour le cyberrisque ainsi que les mesures et seuils connexes?

L'IFF a-t-elle effectué plusieurs simulations de cyberincidents réalistes auprès de groupes de différents échelons de l'organisation?

L’IFF effectue-t-elle régulièrement une autoévaluation de l’efficacité de sa fonction de cybersécurité? Le BSIF offre un outil d’autoévaluation en matière de cybersécurité et on s’attend à ce que de telles évaluations soient effectuées régulièrement.

KPMG au Canada peut aider les IFF qui cherchent à gérer leurs risques technologiques et leurs cyberrisques et à répondre aux attentes énoncées dans la ligne directrice B-13. Communiquez avec notre équipe pour en savoir plus.