Pour les institutions financières fédérales (IFF) du Canada, la nouvelle année rime avec nouvelles exigences. En effet, La ligne directrice B-13 sur la gestion du risque lié aux technologies et du cyberrisque, publiée par le Bureau du surintendant des institutions financières (BSIF), est entrée en vigueur le 1er janvier 2024.
La nouvelle ligne directrice n’étonne pas les IFF. De nombreuses institutions s’y préparaient déjà depuis la publication de la version définitive le 13 juillet 2022. Une bonne partie des directives qu’elles contient sont fondées sur des pratiques exemplaires établies depuis longtemps dans le secteur. Ainsi, afin d’assurer la conformité, le BSIF a fortement encouragé les IFF à évaluer leur situation par rapport à la ligne directrice et à se préparer à fournir une évaluation globale fondée sur le risque des moyens pris pour atteindre les résultats prescrits.
Or, alors que les IFF se préparaient pour la ligne directrice B-13, de nombreux risques non financiers se sont intensifiés dans le paysage financier canadien : les cyberattaques sont de plus en plus sophistiquées et graves, les perturbations technologiques et la numérisation de l’argent exercent une pression accrue sur les modèles d’affaires et les opérations financières, et la dépendance accrue envers de tiers fournisseurs entraîne de nouveaux risques de concentration.1
En attendant l’entrée en vigueur de la ligne directrice B-13, KPMG au Canada a lancé un sondage auprès des institutions financières pour savoir où elles en étaient dans leur processus de conformité. Ce sondage nous a permis d’en savoir plus sur les mesures qu’elles avaient déjà prises et celles qu’elles comptent prendre pour améliorer leurs processus de gouvernance et de gestion des risques, renforcer la résilience de leurs opérations technologiques et améliorer leurs capacités en matière de cybersécurité.
Comment les IFF obtiennent les résultats énoncés dans la ligne directrice B-13
Nous avons demandé aux institutions sondées de fournir des précisions sur leurs pratiques en matière de gestion du risque lié aux technologies et du cyberrisque, ainsi que d’évaluer leur maturité actuelle au moyen d’une échelle allant de « 1 – Initial » (le plus bas niveau de maturité, avec des contrôles mis en œuvre de façon ponctuelle et généralement non consignés) à « 5 – Amélioration continue » (le plus haut niveau de maturité, avec des contrôles continuellement améliorés pour répondre aux besoins et aux risques changeants) dans les trois domaines de la ligne directrice.
Niveaux de maturité moyen par domaine
Comparaison entre la population sondée et les groupes de pairs
Gouvernance et gestion du risque
Dans l’ensemble, les grandes IFF sont bien placées dans ce domaine par rapport au reste de la population cible du sondage et ont témoigné qu’elles avaient une vision rigoureuse de leurs forces et de leurs faiblesses. Par-dessus tout, les IFF de plus petite taille considèrent ce domaine comme étant la plus grande exigence de la ligne directrice B-13. En particulier, les succursales et les filiales d’institutions financières internationales ont trouvé la tâche encore plus difficile, étant donné leur visibilité limitée sur la technologie et la cybergouvernance, puisque ces processus sont principalement gérés à l’extérieur du Canada dans le pays où ils se trouvent.
Peu importe la taille de l’organisation, celles qui tiennent régulièrement des réunions avec leur conseil d’administration et leurs équipes de direction pour discuter du risque lié aux technologies et du cyberrisque affichent des taux de maturité plus élevés en matière de gouvernance et de gestion des risques.
Enfin, les institutions participantes ayant obtenu des cotes de maturité élevées dans ce domaine ont surpassé le reste de la population interrogée dans les deux autres domaines de la ligne directrice B-13, ce qui souligne l’importance de mettre en place des processus rigoureux de gestion des risques et de gouvernance.
Activités et résilience technologique
La gestion d’actifs technologiques est non seulement une compétence de base, mais elle est aussi une tâche importante et complexe qui demande du temps. Les institutions peuvent avoir des milliers d’appareils et d’applications à inventorier et à gérer. Plus les systèmes sont complexes, plus une stratégie globale de gestion d’actifs technologiques devient essentielle. L’assurance que les actifs sont à jour et exempts de vulnérabilités exige ainsi des efforts continus, surtout pour les IFF de plus grande taille. Les institutions n’ayant pas une vue d’ensemble complète de leurs actifs essentiels (c’est-à-dire leurs actifs les plus précieux) et des risques qui les entourent ont tendance à avoir une cote beaucoup plus faible au chapitre des activités et de la résilience technologique, et de la moyenne globale de préparation. Voilà pourquoi il est nécessaire de bien comprendre les actifs technologiques afin d’atténuer les risques plus efficacement.
En ce qui a trait au cycle de développement des systèmes, plusieurs IFF sondées ont tenté de passer d’une méthode en cascade à une méthode agile. Toutefois, certaines d’entre elles ont dû revoir leur méthode d’exécution du changement dans une perspective de gestion des risques, ce qui comprend une documentation rigoureuse et un solide inventaire des configurations.
Cybersécurité
La cybersécurité étant au cœur des préoccupations de nombreuses institutions et autorités de réglementation depuis des décennies, les IFF affichent les taux de maturité les plus élevés dans ce domaine. Il y a plusieurs années, le BSIF lui-même a lancé un outil d’autoévaluation de la cybersécurité, qui a servi de fonction préparatoire à de nombreuses IFF canadiennes en ce qui a trait au respect des exigences de la ligne directrice B-13.
De plus, les institutions qui effectuent régulièrement des simulations de cyberincident et des autoévaluations réalistes pour évaluer l’efficacité de leur fonction de cybersécurité ont obtenu des cotes de maturité qui reflètent mieux leur exposition au risque actuel.
Autres défis organisationnels
Voici quelques-uns des plus grands défis organisationnels auxquels les IFF sondées ont fait face pour atteindre les résultats de la ligne directrice B-13 :
- Décalage entre les résultats attendus par l’entreprise et ceux des TI
- Manque de talents ou de compétences
- Budget ou parrainage insuffisants
Voici une répartition par population sondée et par groupes de pair des trois principes les mieux respectés et des trois principes les moins respectés, en moyenne, de la ligne directrice B-13, selon les cotes de maturité que les institutions participantes se sont attribuées (voir le tableau) :
Enquête auprès de l'industrie sur la ligne directrice B-13 - L'accent mis sur les principes
Points forts | Points à améliorer | |
---|---|---|
Population sondée |
|
|
Groupe de pairs 1 |
|
|
Groupe de pairs 2 |
|
|
Groupe de pairs 3 Excluant les filiales et les succursales |
|
|
Groupe de pairs 3 Uniquement les filiales et les succursales |
|
|
Et ensuite?
Dans l’ensemble, les IFF qui se démarquent comme étant préparées pour la ligne directrice B-13 se concentrent principalement sur les points à améliorer et les gains d’efficience. Étant donné que le respect de la ligne directrice n’est pas un effort ponctuel, les IFF devront démontrer qu’elles ont mis en place des mesures rigoureuses pour assurer une surveillance continue de leur posture de risque et une uniformité de leurs lignes de défense. Même si les IFF ont continué de progresser, bon nombre d’entre elles ont encore du travail à faire. La tâche consiste maintenant à élaborer une feuille de route pour corriger efficacement les lacunes.
- Effectuer une évaluation de la maturité
De nombreuses organisations ont effectué des évaluations de l’état de préparation ou de la maturité avant l’entrée en vigueur de la ligne directrice B-13 afin d’évaluer leurs progrès et de repérer les lacunes qui subsistent. Si vous ne l’avez pas fait, il n’est jamais trop tard. Les IFF en sont à différents stades de préparation et certaines difficultés sont courantes pour celles d’une certaine taille. Si bon nombre des recommandations de la ligne directrice B-13 sont fondées sur une hygiène technologique de base et sur des pratiques exemplaires, leur mise en œuvre de peut sembler complexe. Trouvez un partenaire qui peut vous aider à évaluer votre programme de mise en œuvre et à accélérer le processus de recherche et de résolution des écarts. - La ligne directrice B-13 n’est pas une recommandation isolée. Elle fait partie d’un tout
Rappelons que la ligne directrice B-13 fait partie d’un écosystème de lignes directrices du BSIF. Tous les efforts et réalisations passés pour respecter la ligne directrice B-13 peuvent être mis à profit pour d’autres lignes directrices connexes. On peut penser aux lignes directrices B-10, Gestion du risque lié aux tiers, et E-21, Résilience opérationnelle et gestion du risque opérationnel, qui sont en voie d’être les prochaines lignes directrices édictées par le BSIF. - Le processus lui-même renforce la résilience
Le fait que vos résultats concordent avec ceux prescrits par la ligne directrice B-13 ne veut pas dire qu’il faut s’arrêter là. Voyez plutôt votre conformité comme un exercice de renforcement de la résilience. Il s’agit de pratiques exemplaires fondées sur les circonstances actuelles. Il est important d’avoir une vue d’ensemble du processus et de s’y engager en ayant une perspective budgétaire et stratégique. Le processus lui-même peut finir par rendre votre organisation plus efficiente, plus efficace et plus résiliente dans l’ensemble.
KPMG peut vous être utile
KPMG au Canada possède une connaissance approfondie des lignes directrices du BSIF, du secteur des services financiers et du contexte de la gestion du risque lié aux technologies et du cyberrisque. Nous avons aidé diverses institutions financières de tailles et de complexité variées à composer avec ces nouvelles exigences. Nos conseillers professionnels disposent des outils et des solutions nécessaires pour vous aider à atteindre plus rapidement les résultats exigés. Si vous avez besoin d’aide pour évaluer votre état de préparation, combler les lacunes et renforcer votre résilience, communiquez avec KPMG au Canada.
Ressources et analyses
Communiquez avec nous
Tenez-vous au courant de sujets qui vous intéressent.
Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.
Communiquez avec nous
- Trouvez des bureaux kpmg.findOfficeLocations
- kpmg.emailUs
- Médias sociaux @ KPMG kpmg.socialMedia