La cybersécurité au sein des institutions financières au Canada

30 septembre 2022 | Domenic Presta

Dans son premier Regard annuel sur le risque pour l’exercice 2022-2023, le Bureau du surintendant des institutions financières (BSIF) a recensé les risques les plus importants auxquels sont confrontées les institutions financières à charte fédérale (IFF). Le BSIF relève que les incidents majeurs de cybersécurité ou les attaques informatiques font partie des risques financiers les plus pressants. Le récent conflit entre la Russie et l’Ukraine a exacerbé la situation et a mis en relief le fait que les risques cybernétiques peuvent survenir à l’échelle mondiale en raison de la forte interconnexion entre le système financier et les infrastructures technologiques connexes sur l’échiquier international. Le contexte mondial actuel braque les projecteurs sur les menaces très réelles que ce conflit et d’autres conflits font peser sur les institutions financières et les institutions internationales.

La menace d’attaques exige une certaine préparation en cas incidents

Depuis des années, l’existence de cyberincidents extrêmement perfectionnés et leur prolifération font les manchettes et ces incidents sont de plus en plus nombreux et de plus en plus sérieux (plusieurs rapports confirment cette tendance, notamment le rapport d’IBM intitulé How much does a data breach cost in 2022 (à combien se chiffre la violation de données en 2022). En réponse à cette menace, les grandes institutions financières canadiennes ont renforcé leurs systèmes et mis à l’épreuve leur résilience. Les tests d’intrusion et la mise en place d’une équipe d’intervention d’urgence, qui sont des mesures conçues pour faire ressortir les faiblesses et les vulnérabilités des dispositifs de sécurité de l’information de l’institution financière, et qui abordent les tests d’une manière semblable à celle utilisée par les véritables pirates informatiques, ne sont pas facultatifs, mais constituent un volet essentiel de la préparation en cas d’incident. Les « intervenants » dits non malveillants doivent avoir les mêmes compétences que les pirates informatiques actuellement ancrés dans l’écosystème de la cybersécurité afin d’être efficaces et de pouvoir atteindre l’objectif de se tenir le plus à jour possible en matière de tendances et de méthodes employées dans les scénarios réels de cyberattaque.

Au cours des dernières années, nous avons à plusieurs reprises fait le signalement des risques associés aux points faibles de la cybersécurité exacerbés par le nombre élevé d’employés qui continuent de faire du télétravail à la suite de la pandémie de COVID-19 et à d’autres facteurs associés. Les institutions financières ont dû mettre davantage l’accent sur le renforcement des mesures de sécurité découlant de l’accès à distance des employés, en plus des systèmes internes et des réseaux qui sont confinés dans des installations physiques dont ces entreprises doivent assurer le contrôle.

Souvent, les institutions financières disposent d’outils proactifs de détection des menaces et de renseignements et font appel à des équipes et des entreprises afin d’avoir une longueur d’avance sur les cybercriminels. Ces mesures sont parfois nécessaires pour repérer les cyberattaques et les violations de données dans la chaîne d’approvisionnement de l’institution financière et elles sont efficaces.

Rançongiciels et institutions financières

L’une des formes d’atteinte à la cybersécurité qui ne s’essouffle pas est l’attaque par rançongiciel. Au contraire, ces attaques ont démontré des signes de progrès et de perfectionnement au fil du temps. Le rapport State of Ransomware publié par Sophos en 2022 indique que parmi les 5?600 professionnels de l’informatique interrogés dans de petites, moyennes et grandes entreprises, 66 % des entreprises ont confirmé avoir fait l’objet d’attaques par rançongiciel, comparativement à 37 % en 2020. L’augmentation de la fréquence de ces attaques comprend la prise pour cible des grandes entreprises dans le cadre de ce que l’on appelle des attaques d’« entreprises de gros calibre » ainsi qu’une réflexion sur le fait que beaucoup plus de victimes de ces attaques ont versé les rançons exigées par les pirates informatiques. En mars 2021, une attaque par rançongiciel dirigée vers CNA (une compagnie d’assurances établie aux États-Unis) a perturbé les services à la clientèle et bloqué les employés hors de leur propre réseau interne. Selon le rapport de Bloomberg du 20 mai 2021, CNA a versé une rançon de 40 millions de dollars américains pour reprendre le contrôle de son réseau. Ce cas illustre le fait que les pirates informatiques sont passés de l’attaque directe des actifs des clients à l’attaque des opérateurs de plateformes (comme les institutions financières et les compagnies d’assurances) dans le but de bloquer les transactions, ce qui prive en retour ces plateformes des revenus de transactions (comme les plateformes de négociation de titres en libre-service, par exemple).

Les techniques d’extorsion aussi ont évolué au-delà du simple cryptage, au moyen de logiciels malveillants sur l’ordinateur de la victime, de données qui ne sont pas décryptées tant que la rançon n’a pas été versée. Aujourd’hui, les pirates informatiques trouvent de nouveaux moyens efficaces de renforcer leur influence, notamment par l’apparition de ce que l’on appelle les techniques de « double extorsion » grâce auxquelles les pirates informatiques cryptent les données d’une victime ET volent les données cryptées afin de brandir la menace de les rendre publiques. En fait, certains pirates informatiques ne se donnent même plus la pleine de crypter les données; ils passent directement au vol des données et à l’extorsion des victimes alors que celles-ci conservent l’accès à leurs données. Il s’agit probablement d’une réaction aux mesures défensives de sécurité de l’information, comme la sauvegarde régulière des données, qui réduisent l’efficacité de la technique par cryptage. Toutefois, la restauration des données grâce à l’accès aux données sauvegardées ne sera pas toujours possible, notamment lorsque des services ou des systèmes critiques sont perturbés par le cryptage et lorsque les systèmes maintenus hors ligne représentent un risque important de préjudice, comme pour les hôpitaux qui fournissent des soins critiques.

Un autre vecteur d’attaque que les pirates informatiques peuvent exploiter est l’attaque par déni de service distribué (distributed denial-of-service ou DDoS) par laquelle les pirates informatiques submergent l’entreprise ciblée de trafic Internet indésirable afin d’empêcher les utilisateurs légitimes d’accéder aux services en ligne. Cette menace, qui s’ajoute à la méthode de la double extorsion, donne lieu à une technique de « triple extorsion » dont l’objectif consiste à augmenter encore plus la pression exercée sur les victimes pour que celles-ci versent la rançon demandée.

La cybercriminalité évolue à un rythme rapide, à tel point qu’elle imite désormais la structure et les modes de fonctionnement d’entreprises légitimes. En plus de créer leurs propres logiciels malveillants, les pirates informatiques commencent à les organiser et à les distribuer, autant pour leurs propres besoins que pour servir leurs sociétés affiliées. Cette activité comprend la mise à disposition de leurs plateformes de logiciels malveillants – moyennant des frais – à d’autres pirates informatiques dans le cadre d’une activité connue sous le nom de « rançongiciel en tant que service » (RaaS), un jeu de mots calqué sur l’expression « Software as a service » (SaaS). L’essor des cryptomonnaies a joué un rôle central et a permis aux pirates informatiques de se livrer à ce type de commerce criminel. Par conséquent, les entreprises légitimes sont confrontées à la possibilité d’avoir à traiter avec des réseaux de cybercriminalité hautement perfectionnés et organisés, capables de multiplier les attaques à un rythme et une envergure sans précédent. La coopération et la coordination de ces affiliations criminelles peuvent parfois dépasser la capacité des entreprises légitimes et des autorités à endiguer la vague de cyberattaques à l’échelle mondiale. À cela s’ajoute le fait que l’entrée dans ces entreprises criminelles par l’entremise de la location d’infrastructures permet même à de petits joueurs de mener des attaques ingénieuses. Une fois de plus, cela fait écho à la façon dont les petits entrepreneurs dans les affaires légitimes ont tiré parti des grands fournisseurs publics de services infonuagiques tels que AWS pour agir en tant qu’infrastructure technologique de la petite entreprise afin de fournir des services comme des offres de SaaS de nature diverse.

En réponse à l’envergure et à l’ingéniosité accrues de ces attaques, les organismes de réglementation envisagent de prendre des mesures pour assurer au public que les sociétés ont bien mis en place des mesures de sécurité, comme la possible introduction par la Securities and Exchange Commission (SEC) des États-Unis d’une exigence pour les sociétés cotées en bourse (y compris celles du secteur des services financiers) de commencer à communiquer des informations concernant la cybersécurité. L’objectif de cette communication d’informations serait de « permettre aux investisseurs de mieux évaluer les mesures de cybersécurité et de signalement d’incidents dans les sociétés ouvertes ».

Lignes directrices du BSIF

En 2013, le BSIF a publié sa première auto-évaluation de la cybersécurité, dont le degré de précision et de complexité a évolué au fil des années. L’outil d’évaluation permet aux IFF de mesurer la concordance de leurs propres mesures de contrôle de la cybersécurité par rapport à des niveaux de perfectionnement variables (de 1 à 5, point le plus élevé de l’échelle) décrivant les pratiques exemplaires les plus perfectionnées et les plus avancées que les IFF doivent mettre en œuvre. En plus de l’outil d’auto-évaluation, le BSIF a mis à jour ses exigences de signalement des incidents technologiques et cybernétiques, lancées en janvier 2019 (le « préavis »). Même si l’outil d’auto-évaluation n’est pas obligatoire, son utilisation est fortement recommandée afin de permettre aux institutions financières de surveiller, d’évaluer et d’apporter, de manière continue, des améliorations aux lacunes potentielles dans leurs dispositifs respectifs en matière de sécurité de l’information. À l’instar des pratiques exemplaires pour la conformité à d’autres lignes directrices du BSIF, comme la ligne directrice B-10 (ligne directrice sur la gestion du risque lié aux tiers), les institutions financières sous réglementation fédérale devront documenter les mesures, les processus et les mesures à instaurer et à suivre afin de se conformer aux exigences de la ligne directrice B-13, notamment au moyen d’une politique de conformité interne et de l’adoption de pratiques exemplaires uniformes dans l’ensemble des activités de ces institutions financières.

Avis de violation des données

Le préavis exige que les IFF traitent les incidents technologiques et de cybernétiques « promptement et efficacement », ce qui comprend l’obligation pour les IFF de fournir au BSIF des avis sans délai lorsque des cyberincidents se produisent. Fait important, contrairement aux obligations imposées par les lois fédérales ou provinciales canadiennes en matière de protection des renseignements personnels, ces incidents doivent être signalés, qu’ils aient ou non une incidence sur les renseignements personnels.

Dans le préavis, un incident lié à la technologie ou à la cybersécurité s’entend d’« […] un incident qui a ou pourrait avoir des conséquences sur les activités d’une IFF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements ». Dans les critères de signalement de ces incidents publiés sur son site Web, le BSIF précise que, pour qu’un incident puisse être signalé, il doit présenter une ou plusieurs des caractéristiques énoncées par le BSIF sur la page Web susmentionnée. Cela comprend toute compromission liée à des fournisseurs et d’autres tiers utilisés par l’IFF.

La notification en question doit être faite dans les 24 heures ou plus tôt à la Division du risque lié aux technologies du BSIF (TRD@osfi-bsif.gc.ca), comme l’indique le formulaire de signalement et de résolution d’un incident (à l’annexe II du préavis) exigé par le BSIF.

Cette obligation de signalement est de nature continue et le BSIF s’attend à ce que les IFF fassent périodiquement le point à mesure que de nouveaux renseignements deviennent disponibles. Toute omission de signaler un incident peut « exposer l’entreprise à une surveillance accrue. »

Les mesures décrites précédemment ont amené le BSIF à publier, en juillet 2022, la ligne directrice B-13 pour une entrée en vigueur le 1er janvier 2024. Ces échéances ont été fixées afin d’accorder aux IFF suffisamment de temps pour se conformer à ces lignes directrices. L’adoption et l’utilisation accélérées et généralisées des technologies ainsi que la progression correspondante des cyberincidents et des cyberattaques sont les principaux enjeux qui ont mené à la publication par le BSIF de cette plus récente ligne directrice, selon ce qui a été annoncé le 13 juillet 2022.

Domaines et principes de cybersécurité dans les institutions financières

La ligne directrice B-13 s’articule autour des enjeux que le BSIF décrit comme « les domaines de la saine gestion de la technologie et de la cybersécurité », comme suit : i) Gouvernance et gestion du risque; ii) Activités et résilience technologiques; et iii) Cybersécurité. Le BSIF sépare ensuite ces domaines selon les principes applicables à chacun d’eux (et auxquels les IFF doivent adhérer). Chacun de ces « domaines » décrit les facteurs essentiels pour l’instauration de saines pratiques de sécurité de l’information au sein des institutions financières, tandis que les principes font état de domaines ciblés pour atteindre les objectifs relatifs à chaque domaine. Pour obtenir des renseignements sur ces principes, cliquez sur l’hyperlien fourni pour chacun des domaines ci?dessous :

i) Domaine de la gouvernance et de la gestion du risque – Principes

Principe 1 : Responsabilité et structure organisationnelle; Principe 2 : Stratégie en matière de technologie et de cybersécurité; Principe 3 : Cadre de gestion du risque lié aux technologies et du cyberrisque.

ii) Activités et résilience technologiques – Principes

Principe 4 : Architecture technologique; Principe 5 : Gestion des actifs technologiques; Principe 6 : Gestion de projets technologiques; Principe 7 : Cycle de développement des systèmes; Principe 8 : Gestion des changements et des versions; Principe 9 : Gestion des correctifs; Principe 10 : Gestion des incidents et des problèmes; Principe 11 : Évaluation et suivi des services technologiques; Principe 12 : Reprise après sinistre; Principe 13 : Mise à l’essai des scénarios.

iii) Cybersécurité – Principes

Principe 14 – Recensement des faiblesses en matière de cybersécurité; Principe 15 – Contrôles de cybersécurité; Principe 16 – Recensement des incidents en matière de cybersécurité; Principe 17 – Répondre, rétablir et apprendre.

Conclusion

Le secteur des technologies continue d’évoluer rapidement. Il est plus important que jamais que les autorités gouvernementales et de réglementation, comme le BSIF, réagissent en mettant en œuvre des cadres de gestion des risques judicieux et proportionnels aux risques et aux défis en constante ébullition (sur le plan géopolitique et autres) auxquels le monde est confronté de nos jours. Les nombreux intervenants dans cet écosystème et les autorités de réglementation correspondantes doivent exercer une vigilance constante pour que les consommateurs puissent continuer d’avoir foi et confiance dans leurs institutions financières.

Avis de non-responsabilité

Les renseignements affichés sur ce blogue contiennent des points de droit variés fournis uniquement à des fins informatives et non commerciales. Ces renseignements ne constituent pas un avis juridique de la part de l’auteur. Nous mettons en garde les lecteurs de ne pas prendre de décision particulière sans avoir préalablement obtenu l’avis juridique d’un professionnel qualifié. Toute personne qui décide de prendre une décision en s’appuyant sur ces renseignements le fait à ses propres risques.