8 minutes de lecture

Pour les institutions financières fédérales (IFF) du Canada, la nouvelle année rime avec nouvelles exigences. En effet, La ligne directrice B-13 sur la gestion du risque lié aux technologies et du cyberrisque, publiée par le Bureau du surintendant des institutions financières (BSIF), est entrée en vigueur le 1er janvier 2024.

La nouvelle ligne directrice n’étonne pas les IFF. De nombreuses institutions s’y préparaient déjà depuis la publication de la version définitive le 13 juillet 2022. Une bonne partie des directives qu’elles contient sont fondées sur des pratiques exemplaires établies depuis longtemps dans le secteur. Ainsi, afin d’assurer la conformité, le BSIF a fortement encouragé les IFF à évaluer leur situation par rapport à la ligne directrice et à se préparer à fournir une évaluation globale fondée sur le risque des moyens pris pour atteindre les résultats prescrits.

Or, alors que les IFF se préparaient pour la ligne directrice B-13, de nombreux risques non financiers se sont intensifiés dans le paysage financier canadien : les cyberattaques sont de plus en plus sophistiquées et graves, les perturbations technologiques et la numérisation de l’argent exercent une pression accrue sur les modèles d’affaires et les opérations financières, et la dépendance accrue envers de tiers fournisseurs entraîne de nouveaux risques de concentration.1

En attendant l’entrée en vigueur de la ligne directrice B-13, KPMG au Canada a lancé un sondage auprès des institutions financières pour savoir où elles en étaient dans leur processus de conformité. Ce sondage nous a permis d’en savoir plus sur les mesures qu’elles avaient déjà prises et celles qu’elles comptent prendre pour améliorer leurs processus de gouvernance et de gestion des risques, renforcer la résilience de leurs opérations technologiques et améliorer leurs capacités en matière de cybersécurité.

Comment les IFF obtiennent les résultats énoncés dans la ligne directrice B-13

Nous avons demandé aux institutions sondées de fournir des précisions sur leurs pratiques en matière de gestion du risque lié aux technologies et du cyberrisque, ainsi que d’évaluer leur maturité actuelle au moyen d’une échelle allant de « 1 – Initial » (le plus bas niveau de maturité, avec des contrôles mis en œuvre de façon ponctuelle et généralement non consignés) à « 5 – Amélioration continue » (le plus haut niveau de maturité, avec des contrôles continuellement améliorés pour répondre aux besoins et aux risques changeants) dans les trois domaines de la ligne directrice.

Niveaux de maturité moyen par domaine

Comparaison entre la population sondée et les groupes de pairs

  

Niveaux de maturité moyen par domaine: Comparaison entre la population sondée et les groupes de pairs

Gouvernance et gestion du risque

Dans l’ensemble, les grandes IFF sont bien placées dans ce domaine par rapport au reste de la population cible du sondage et ont témoigné qu’elles avaient une vision rigoureuse de leurs forces et de leurs faiblesses. Par-dessus tout, les IFF de plus petite taille considèrent ce domaine comme étant la plus grande exigence de la ligne directrice B-13. En particulier, les succursales et les filiales d’institutions financières internationales ont trouvé la tâche encore plus difficile, étant donné leur visibilité limitée sur la technologie et la cybergouvernance, puisque ces processus sont principalement gérés à l’extérieur du Canada dans le pays où ils se trouvent.

Peu importe la taille de l’organisation, celles qui tiennent régulièrement des réunions avec leur conseil d’administration et leurs équipes de direction pour discuter du risque lié aux technologies et du cyberrisque affichent des taux de maturité plus élevés en matière de gouvernance et de gestion des risques.

Enfin, les institutions participantes ayant obtenu des cotes de maturité élevées dans ce domaine ont surpassé le reste de la population interrogée dans les deux autres domaines de la ligne directrice B-13, ce qui souligne l’importance de mettre en place des processus rigoureux de gestion des risques et de gouvernance.

Activités et résilience technologique

La gestion d’actifs technologiques est non seulement une compétence de base, mais elle est aussi une tâche importante et complexe qui demande du temps. Les institutions peuvent avoir des milliers d’appareils et d’applications à inventorier et à gérer. Plus les systèmes sont complexes, plus une stratégie globale de gestion d’actifs technologiques devient essentielle. L’assurance que les actifs sont à jour et exempts de vulnérabilités exige ainsi des efforts continus, surtout pour les IFF de plus grande taille. Les institutions n’ayant pas une vue d’ensemble complète de leurs actifs essentiels (c’est-à-dire leurs actifs les plus précieux) et des risques qui les entourent ont tendance à avoir une cote beaucoup plus faible au chapitre des activités et de la résilience technologique, et de la moyenne globale de préparation. Voilà pourquoi il est nécessaire de bien comprendre les actifs technologiques afin d’atténuer les risques plus efficacement.

En ce qui a trait au cycle de développement des systèmes, plusieurs IFF sondées ont tenté de passer d’une méthode en cascade à une méthode agile. Toutefois, certaines d’entre elles ont dû revoir leur méthode d’exécution du changement dans une perspective de gestion des risques, ce qui comprend une documentation rigoureuse et un solide inventaire des configurations.

Cybersécurité

La cybersécurité étant au cœur des préoccupations de nombreuses institutions et autorités de réglementation depuis des décennies, les IFF affichent les taux de maturité les plus élevés dans ce domaine. Il y a plusieurs années, le BSIF lui-même a lancé un outil d’autoévaluation de la cybersécurité, qui a servi de fonction préparatoire à de nombreuses IFF canadiennes en ce qui a trait au respect des exigences de la ligne directrice B-13.

De plus, les institutions qui effectuent régulièrement des simulations de cyberincident et des autoévaluations réalistes pour évaluer l’efficacité de leur fonction de cybersécurité ont obtenu des cotes de maturité qui reflètent mieux leur exposition au risque actuel.

Autres défis organisationnels

Voici quelques-uns des plus grands défis organisationnels auxquels les IFF sondées ont fait face pour atteindre les résultats de la ligne directrice B-13 :

  • Décalage entre les résultats attendus par l’entreprise et ceux des TI
  • Manque de talents ou de compétences
  • Budget ou parrainage insuffisants

Voici une répartition par population sondée et par groupes de pair des trois principes les mieux respectés et des trois principes les moins respectés, en moyenne, de la ligne directrice B-13, selon les cotes de maturité que les institutions participantes se sont attribuées (voir le tableau) :

Enquête auprès de l'industrie sur la ligne directrice B-13 - L'accent mis sur les principes

    Points forts​ Points à améliorer​
Population sondée 
  1. Un programme de reprise après sinistre est établi​
  2. Détecter​
  3. Gestion des correctifs
  1. Gestion des actifs technologiques​
  2. Cycle de développement des systèmes​
  3. Cadre de gestion du risque lié aux technologies et du cyberrisque
Groupe de pairs 1
  1. Répondre, rétablir et apprendre​
  2. Stratégie en matière de technologie et de cybersécurité​
  3. Détecter
  1. Gestion des actifs technologiques​
  2. Cycle de développement des systèmes​
  3. Gestion des correctifs
Groupe de pairs 2
  1. Gestion des changements et des versions​
  2. Gestion de projets technologiques​
  3. Gestion des incidents et des problèmes
  1. Gestion des actifs technologiques​
  2. Architecture technologique​
  3. Identifier
Groupe de pairs 3
Excluant les filiales et les succursales
  1. Gestion des correctifs​
  2. Identifier​
  3. Répondre, rétablir et apprendre
  1. Cycle de développement des systèmes​
  2. Gestion des changements et des versions​
  3. Cadre de gestion du risque lié aux technologies et du cyberrisque
Groupe de pairs 3
Uniquement les filiales et les succursales ​
  1. Un programme de reprise après sinistre est établi​
  2. Les scénarios de reprise après sinistre sont testés​
  3. Gestion des correctifs
  1. Cadre de gestion du risque lié aux technologies et du cyberrisque​
  2. Stratégie en matière de technologie et de cybersécurité​
  3. Cycle de développement des systèmes

Et ensuite?

Dans l’ensemble, les IFF qui se démarquent comme étant préparées pour la ligne directrice B-13 se concentrent principalement sur les points à améliorer et les gains d’efficience. Étant donné que le respect de la ligne directrice n’est pas un effort ponctuel, les IFF devront démontrer qu’elles ont mis en place des mesures rigoureuses pour assurer une surveillance continue de leur posture de risque et une uniformité de leurs lignes de défense. Même si les IFF ont continué de progresser, bon nombre d’entre elles ont encore du travail à faire. La tâche consiste maintenant à élaborer une feuille de route pour corriger efficacement les lacunes.

  • Effectuer une évaluation de la maturité
    De nombreuses organisations ont effectué des évaluations de l’état de préparation ou de la maturité avant l’entrée en vigueur de la ligne directrice B-13 afin d’évaluer leurs progrès et de repérer les lacunes qui subsistent. Si vous ne l’avez pas fait, il n’est jamais trop tard. Les IFF en sont à différents stades de préparation et certaines difficultés sont courantes pour celles d’une certaine taille. Si bon nombre des recommandations de la ligne directrice B-13 sont fondées sur une hygiène technologique de base et sur des pratiques exemplaires, leur mise en œuvre de peut sembler complexe. Trouvez un partenaire qui peut vous aider à évaluer votre programme de mise en œuvre et à accélérer le processus de recherche et de résolution des écarts.
  • La ligne directrice B-13 n’est pas une recommandation isolée. Elle fait partie d’un tout
    Rappelons que la ligne directrice B-13 fait partie d’un écosystème de lignes directrices du BSIF. Tous les efforts et réalisations passés pour respecter la ligne directrice B-13 peuvent être mis à profit pour d’autres lignes directrices connexes. On peut penser aux lignes directrices B-10, Gestion du risque lié aux tiers, et E-21, Résilience opérationnelle et gestion du risque opérationnel, qui sont en voie d’être les prochaines lignes directrices édictées par le BSIF.
  • Le processus lui-même renforce la résilience
    Le fait que vos résultats concordent avec ceux prescrits par la ligne directrice B-13 ne veut pas dire qu’il faut s’arrêter là. Voyez plutôt votre conformité comme un exercice de renforcement de la résilience. Il s’agit de pratiques exemplaires fondées sur les circonstances actuelles. Il est important d’avoir une vue d’ensemble du processus et de s’y engager en ayant une perspective budgétaire et stratégique. Le processus lui-même peut finir par rendre votre organisation plus efficiente, plus efficace et plus résiliente dans l’ensemble.
  1. Regard annuel du BSIF sur le risque – Exercice 2023-2024

KPMG peut vous être utile

KPMG au Canada possède une connaissance approfondie des lignes directrices du BSIF, du secteur des services financiers et du contexte de la gestion du risque lié aux technologies et du cyberrisque. Nous avons aidé diverses institutions financières de tailles et de complexité variées à composer avec ces nouvelles exigences. Nos conseillers professionnels disposent des outils et des solutions nécessaires pour vous aider à atteindre plus rapidement les résultats exigés. Si vous avez besoin d’aide pour évaluer votre état de préparation, combler les lacunes et renforcer votre résilience, communiquez avec KPMG au Canada.

Services financiers
Services financiers

Aider les institutions financières à gérer le risque, augmenter le rendement et la valeur

Office building
Service de gestion des risques

Nos conseillers en gestion du risque aident à transformer le risque en atout concurrentiel

main numérique
Services gérés

Des services très performants par abonnement qui libèrent vos équipes

Ressources et analyses

boucliers bleus
boucliers bleus
L’union fait la force : adopter la certification harmonisée
L’union fait la force : adopter la certification harmonisée
L’union fait la force : adopter la certification harmonisée
2 minutes de lecture

Unir les efforts des trois lignes de défense des institutions financières

Unir les efforts des trois lignes de défense des institutions financières

Unir les efforts des trois lignes de défense des institutions financières

Cubes et circuits violets
Cubes et circuits violets
Le prochain resserrement réglementaire en gestion d’actifs
Le prochain resserrement réglementaire en gestion d’actifs
Le prochain resserrement réglementaire en gestion d’actifs
8 minutes de lecture

La SEC propose d’imposer de nouvelles exigences aux conseillers en placement pour renforcer la résilience en matière de cybersécurité

La SEC propose d’imposer de nouvelles exigences aux conseillers en placement pour renforcer la résilience en matière de cybersécurité

La SEC propose d’imposer de nouvelles exigences aux conseillers

Sécuriser la transformation numérique
Sécuriser la transformation numérique
Sécuriser la transformation numérique
Sécuriser la transformation numérique
Sécuriser la transformation numérique
10 minutes de lecture

Résultats canadiens sur les technologies perturbatrices et la cybersécurité, tirés du rapport Perspective des chefs de la direction de KPMG 2023

Résultats canadiens sur les technologies perturbatrices et la cybersécurité, tirés du rapport Perspective des chefs de la direction de KPMG 2023

Résultats canadiens sur les technologies perturbatrices et la cybersécurité

Être digne de confiance
Être digne de confiance
Gagner et conserver la confiance des parties prenantes
Gagner et conserver la confiance des parties prenantes
Gagner et conserver la confiance des parties prenantes

Le parcours vers la croissance d'entreprise et la gestion proactive des risques

Le parcours vers la croissance d'entreprise et la gestion proactive des risques

Le parcours vers la croissance d'entreprise et la gestion proactive des risques

Communiquez avec nous

Eugene Atangan Billets de blogue
Eugene Atangan
Associé, Services-conseils en technologie
KPMG au Canada
Profil | | Téléphone
Adil Palsetia Billets de blogue
Adil Palsetia
Associé, Cybersécurité
KPMG au Canada
Profil | | Téléphone

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Communiquez avec nous