Dans son premier Regard annuel sur le risque pour l\u2019exercice\u00a02022-2023, le Bureau du surintendant des institutions financi\u00e8res (BSIF) a recens\u00e9 les risques les plus importants auxquels sont confront\u00e9es les institutions financi\u00e8res \u00e0 charte f\u00e9d\u00e9rale (IFF). Le BSIF rel\u00e8ve que les incidents majeurs de cybers\u00e9curit\u00e9 ou les attaques informatiques font partie des risques financiers les plus pressants. Le r\u00e9cent conflit entre la Russie et l\u2019Ukraine a exacerb\u00e9 la situation et a mis en relief le fait que les risques cybern\u00e9tiques peuvent survenir \u00e0 l\u2019\u00e9chelle mondiale en raison de la forte interconnexion entre le syst\u00e8me financier et les infrastructures technologiques connexes sur l\u2019\u00e9chiquier international. Le contexte mondial actuel braque les projecteurs sur les menaces tr\u00e8s r\u00e9elles que ce conflit et d\u2019autres conflits font peser sur les institutions financi\u00e8res et les institutions internationales.<\/p>\n
Depuis des ann\u00e9es, l\u2019existence de cyberincidents extr\u00eamement perfectionn\u00e9s et leur prolif\u00e9ration font les manchettes et ces incidents sont de plus en plus nombreux et de plus en plus s\u00e9rieux (plusieurs rapports confirment cette tendance, notamment le rapport d\u2019IBM intitul\u00e9 How much does a data breach cost in 2022<\/a> (\u00e0 combien se chiffre la violation de donn\u00e9es en 2022). En r\u00e9ponse \u00e0 cette menace, les grandes institutions financi\u00e8res canadiennes ont renforc\u00e9 leurs syst\u00e8mes et mis \u00e0 l\u2019\u00e9preuve leur r\u00e9silience. Les tests d\u2019intrusion et la mise en place d\u2019une \u00e9quipe d\u2019intervention d\u2019urgence, qui sont des mesures con\u00e7ues pour faire ressortir les faiblesses et les vuln\u00e9rabilit\u00e9s des dispositifs de s\u00e9curit\u00e9 de l\u2019information de l\u2019institution financi\u00e8re, et qui abordent les tests d\u2019une mani\u00e8re semblable \u00e0 celle utilis\u00e9e par les v\u00e9ritables pirates informatiques, ne sont pas facultatifs, mais constituent un volet essentiel de la pr\u00e9paration en cas d\u2019incident. Les \u00ab\u00a0intervenants\u00a0\u00bb dits non malveillants doivent avoir les m\u00eames comp\u00e9tences que les pirates informatiques actuellement ancr\u00e9s dans l\u2019\u00e9cosyst\u00e8me de la cybers\u00e9curit\u00e9 afin d\u2019\u00eatre efficaces et de pouvoir atteindre l\u2019objectif de se tenir le plus \u00e0 jour possible en mati\u00e8re de tendances et de m\u00e9thodes employ\u00e9es dans les sc\u00e9narios r\u00e9els de cyberattaque.<\/p>\n Au cours des derni\u00e8res ann\u00e9es, nous avons \u00e0 plusieurs reprises fait le signalement<\/a> des risques associ\u00e9s aux points faibles de la cybers\u00e9curit\u00e9 exacerb\u00e9s par le nombre \u00e9lev\u00e9 d\u2019employ\u00e9s qui continuent de faire du t\u00e9l\u00e9travail \u00e0 la suite de la pand\u00e9mie de COVID-19 et \u00e0 d\u2019autres facteurs associ\u00e9s. Les institutions financi\u00e8res ont d\u00fb mettre davantage l\u2019accent sur le renforcement des mesures de s\u00e9curit\u00e9 d\u00e9coulant de l\u2019acc\u00e8s \u00e0 distance des employ\u00e9s, en plus des syst\u00e8mes internes et des r\u00e9seaux qui sont confin\u00e9s dans des installations physiques dont ces entreprises doivent assurer le contr\u00f4le.<\/p>\n Souvent, les institutions financi\u00e8res disposent d\u2019outils proactifs de d\u00e9tection des menaces et de renseignements et font appel \u00e0 des \u00e9quipes et des entreprises afin d\u2019avoir une longueur d\u2019avance sur les cybercriminels. Ces mesures sont parfois n\u00e9cessaires pour rep\u00e9rer les cyberattaques et les violations de donn\u00e9es dans la cha\u00eene d\u2019approvisionnement de l\u2019institution financi\u00e8re et elles sont efficaces.<\/p>\n L\u2019une des formes d\u2019atteinte \u00e0 la cybers\u00e9curit\u00e9 qui ne s\u2019essouffle pas est l\u2019attaque par ran\u00e7ongiciel. Au contraire, ces attaques ont d\u00e9montr\u00e9 des signes de progr\u00e8s et de perfectionnement au fil du temps. Le rapport State of Ransomware<\/em> publi\u00e9 par Sophos en 2022 indique que parmi les 5?600\u00a0professionnels de l\u2019informatique interrog\u00e9s dans de petites, moyennes et grandes entreprises, 66\u00a0% des entreprises ont confirm\u00e9 avoir fait l\u2019objet d\u2019attaques par ran\u00e7ongiciel, comparativement \u00e0 37\u00a0% en 2020. L\u2019augmentation de la fr\u00e9quence de ces attaques comprend la prise pour cible des grandes entreprises dans le cadre de ce que l\u2019on appelle des attaques d\u2019\u00ab\u00a0entreprises de gros calibre\u00a0\u00bb ainsi qu\u2019une r\u00e9flexion sur le fait que beaucoup plus de victimes de ces attaques ont vers\u00e9 les ran\u00e7ons exig\u00e9es par les pirates informatiques. En mars 2021, une attaque par ran\u00e7ongiciel dirig\u00e9e vers CNA (une compagnie d\u2019assurances \u00e9tablie aux \u00c9tats-Unis) a perturb\u00e9 les services \u00e0 la client\u00e8le et bloqu\u00e9 les employ\u00e9s hors de leur propre r\u00e9seau interne. Selon le rapport de Bloomberg<\/a> du 20 mai 2021, CNA a vers\u00e9 une ran\u00e7on de 40 millions de dollars am\u00e9ricains pour reprendre le contr\u00f4le de son r\u00e9seau. Ce cas illustre le fait que les pirates informatiques sont pass\u00e9s de l\u2019attaque directe des actifs des clients \u00e0 l\u2019attaque des op\u00e9rateurs de plateformes (comme les institutions financi\u00e8res et les compagnies d\u2019assurances) dans le but de bloquer les transactions, ce qui prive en retour ces plateformes des revenus de transactions (comme les plateformes de n\u00e9gociation de titres en libre-service, par exemple).<\/p>\n Les techniques d\u2019extorsion aussi ont \u00e9volu\u00e9 au-del\u00e0 du simple cryptage, au moyen de logiciels malveillants sur l\u2019ordinateur de la victime, de donn\u00e9es qui ne sont pas d\u00e9crypt\u00e9es tant que la ran\u00e7on n\u2019a pas \u00e9t\u00e9 vers\u00e9e. Aujourd\u2019hui, les pirates informatiques trouvent de nouveaux moyens efficaces de renforcer leur influence, notamment par l\u2019apparition de ce que l\u2019on appelle les techniques de \u00ab\u00a0double extorsion\u00a0\u00bb gr\u00e2ce auxquelles les pirates informatiques cryptent les donn\u00e9es d\u2019une victime ET volent les donn\u00e9es crypt\u00e9es afin de brandir la menace de les rendre publiques. En fait, certains pirates informatiques ne se donnent m\u00eame plus la pleine de crypter les donn\u00e9es; ils passent directement au vol des donn\u00e9es et \u00e0 l\u2019extorsion des victimes alors que celles-ci conservent l\u2019acc\u00e8s \u00e0 leurs donn\u00e9es. Il s\u2019agit probablement d\u2019une r\u00e9action aux mesures d\u00e9fensives de s\u00e9curit\u00e9 de l\u2019information, comme la sauvegarde r\u00e9guli\u00e8re des donn\u00e9es, qui r\u00e9duisent l\u2019efficacit\u00e9 de la technique par cryptage. Toutefois, la restauration des donn\u00e9es gr\u00e2ce \u00e0 l\u2019acc\u00e8s aux donn\u00e9es sauvegard\u00e9es ne sera pas toujours possible, notamment lorsque des services ou des syst\u00e8mes critiques sont perturb\u00e9s par le cryptage et lorsque les syst\u00e8mes maintenus hors ligne repr\u00e9sentent un risque important de pr\u00e9judice, comme pour les h\u00f4pitaux qui fournissent des soins critiques.<\/p>\n Un autre vecteur d\u2019attaque que les pirates informatiques peuvent exploiter est l\u2019attaque par d\u00e9ni de service distribu\u00e9 (distributed denial-of-service <\/em>ou DDoS<\/em>) par laquelle les pirates informatiques submergent l\u2019entreprise cibl\u00e9e de trafic Internet ind\u00e9sirable afin d\u2019emp\u00eacher les utilisateurs l\u00e9gitimes d\u2019acc\u00e9der aux services en ligne. Cette menace, qui s\u2019ajoute \u00e0 la m\u00e9thode de la double extorsion, donne lieu \u00e0 une technique de \u00ab\u00a0triple extorsion\u00a0\u00bb dont l\u2019objectif consiste \u00e0 augmenter encore plus la pression exerc\u00e9e sur les victimes pour que celles-ci versent la ran\u00e7on demand\u00e9e.<\/p>\n La cybercriminalit\u00e9 \u00e9volue \u00e0 un rythme rapide, \u00e0 tel point qu\u2019elle imite d\u00e9sormais la structure et les modes de fonctionnement d\u2019entreprises l\u00e9gitimes. En plus de cr\u00e9er leurs propres logiciels malveillants, les pirates informatiques commencent \u00e0 les organiser et \u00e0 les distribuer, autant pour leurs propres besoins que pour servir leurs soci\u00e9t\u00e9s affili\u00e9es. Cette activit\u00e9 comprend la mise \u00e0 disposition de leurs plateformes de logiciels malveillants \u2013 moyennant des frais \u2013 \u00e0 d\u2019autres pirates informatiques dans le cadre d\u2019une activit\u00e9 connue sous le nom de \u00ab\u00a0ran\u00e7ongiciel en tant que service\u00a0\u00bb (RaaS), un jeu de mots calqu\u00e9 sur l\u2019expression \u00ab\u00a0Software as a service<\/em>\u00a0\u00bb (SaaS). L\u2019essor des cryptomonnaies a jou\u00e9 un r\u00f4le central et a permis aux pirates informatiques de se livrer \u00e0 ce type de commerce criminel. Par cons\u00e9quent, les entreprises l\u00e9gitimes sont confront\u00e9es \u00e0 la possibilit\u00e9 d\u2019avoir \u00e0 traiter avec des r\u00e9seaux de cybercriminalit\u00e9 hautement perfectionn\u00e9s et organis\u00e9s, capables de multiplier les attaques \u00e0 un rythme et une envergure sans pr\u00e9c\u00e9dent. La coop\u00e9ration et la coordination de ces affiliations criminelles peuvent parfois d\u00e9passer la capacit\u00e9 des entreprises l\u00e9gitimes et des autorit\u00e9s \u00e0 endiguer la vague de cyberattaques \u00e0 l\u2019\u00e9chelle mondiale. \u00c0 cela s\u2019ajoute le fait que l\u2019entr\u00e9e dans ces entreprises criminelles par l\u2019entremise de la location d\u2019infrastructures permet m\u00eame \u00e0 de petits joueurs de mener des attaques ing\u00e9nieuses. Une fois de plus, cela fait \u00e9cho \u00e0 la fa\u00e7on dont les petits entrepreneurs dans les affaires l\u00e9gitimes ont tir\u00e9 parti des grands fournisseurs publics de services infonuagiques tels que AWS pour agir en tant qu\u2019infrastructure technologique de la petite entreprise afin de fournir des services comme des offres de SaaS de nature diverse.<\/p>\n En r\u00e9ponse \u00e0 l\u2019envergure et \u00e0 l\u2019ing\u00e9niosit\u00e9 accrues de ces attaques, les organismes de r\u00e9glementation envisagent de prendre des mesures pour assurer au public que les soci\u00e9t\u00e9s ont bien mis en place des mesures de s\u00e9curit\u00e9, comme la possible introduction par la Securities and Exchange Commission (SEC) des \u00c9tats-Unis d\u2019une exigence pour les soci\u00e9t\u00e9s cot\u00e9es en bourse (y compris celles du secteur des services financiers) de commencer \u00e0 communiquer des informations concernant la cybers\u00e9curit\u00e9. L\u2019objectif de cette communication d\u2019informations serait de \u00ab\u00a0permettre aux investisseurs de mieux \u00e9valuer les mesures de cybers\u00e9curit\u00e9 et de signalement d\u2019incidents dans les soci\u00e9t\u00e9s ouvertes<\/a>\u00a0\u00bb.<\/p>\n En 2013, le BSIF a publi\u00e9 sa premi\u00e8re auto-\u00e9valuation de la cybers\u00e9curit\u00e9, dont le degr\u00e9 de pr\u00e9cision et de complexit\u00e9 a \u00e9volu\u00e9 au fil des ann\u00e9es. L\u2019outil d\u2019\u00e9valuation permet aux IFF de mesurer la concordance de leurs propres mesures de contr\u00f4le de la cybers\u00e9curit\u00e9 par rapport \u00e0 des niveaux de perfectionnement variables (de 1 \u00e0 5, point le plus \u00e9lev\u00e9 de l\u2019\u00e9chelle) d\u00e9crivant les pratiques exemplaires les plus perfectionn\u00e9es et les plus avanc\u00e9es que les IFF doivent mettre en \u0153uvre. En plus de l\u2019outil d\u2019auto-\u00e9valuation, le BSIF a mis \u00e0 jour ses exigences de signalement des incidents technologiques et cybern\u00e9tiques, lanc\u00e9es en janvier 2019 (le \u00ab\u00a0pr\u00e9avis\u00a0\u00bb). M\u00eame si l\u2019outil d\u2019auto-\u00e9valuation n\u2019est pas obligatoire, son utilisation est fortement recommand\u00e9e afin de permettre aux institutions financi\u00e8res de surveiller, d\u2019\u00e9valuer et d\u2019apporter, de mani\u00e8re continue, des am\u00e9liorations aux lacunes potentielles dans leurs dispositifs respectifs en mati\u00e8re de s\u00e9curit\u00e9 de l\u2019information. \u00c0 l\u2019instar des pratiques exemplaires pour la conformit\u00e9 \u00e0 d\u2019autres lignes directrices du BSIF, comme la ligne directrice\u00a0B-10 (ligne directrice sur la gestion du risque li\u00e9 aux tiers), les institutions financi\u00e8res sous r\u00e9glementation f\u00e9d\u00e9rale devront documenter les mesures, les processus et les mesures \u00e0 instaurer et \u00e0 suivre afin de se conformer aux exigences de la ligne directrice\u00a0B-13, notamment au moyen d\u2019une politique de conformit\u00e9 interne et de l\u2019adoption de pratiques exemplaires uniformes dans l\u2019ensemble des activit\u00e9s de ces institutions financi\u00e8res.<\/p>\n Le pr\u00e9avis exige que les IFF traitent les incidents technologiques et de cybern\u00e9tiques \u00ab\u00a0promptement et efficacement\u00a0\u00bb, ce qui comprend l\u2019obligation pour les IFF de fournir au BSIF des avis sans d\u00e9lai lorsque des cyberincidents se produisent. Fait important, contrairement aux obligations impos\u00e9es par les lois f\u00e9d\u00e9rales ou provinciales canadiennes en mati\u00e8re de protection des renseignements personnels, ces incidents doivent \u00eatre signal\u00e9s, qu\u2019ils aient ou non une incidence sur les renseignements personnels.<\/p>\n Dans le pr\u00e9avis, un incident li\u00e9 \u00e0 la technologie ou \u00e0 la cybers\u00e9curit\u00e9 s\u2019entend d\u2019\u00ab\u00a0[…] un incident qui a ou pourrait avoir des cons\u00e9quences sur les activit\u00e9s d\u2019une IFF, y compris sur les plans de la confidentialit\u00e9, de l\u2019int\u00e9grit\u00e9 ou de la disponibilit\u00e9 de ses syst\u00e8mes ou de ses renseignements\u00a0\u00bb. Dans les crit\u00e8res de signalement de ces incidents<\/a> publi\u00e9s sur son site Web, le BSIF pr\u00e9cise que, pour qu\u2019un incident puisse \u00eatre signal\u00e9, il doit pr\u00e9senter une ou plusieurs des caract\u00e9ristiques \u00e9nonc\u00e9es par le BSIF sur la page Web susmentionn\u00e9e. Cela comprend toute compromission li\u00e9e \u00e0 des fournisseurs et d\u2019autres tiers utilis\u00e9s par l\u2019IFF.<\/p>\n La notification en question doit \u00eatre faite dans les 24 heures ou plus t\u00f4t \u00e0 la Division du risque li\u00e9 aux technologies du BSIF (TRD@osfi-bsif.gc.ca<\/a>), comme l\u2019indique le formulaire de signalement et de r\u00e9solution d\u2019un incident (\u00e0 l\u2019annexe\u00a0II du pr\u00e9avis) exig\u00e9 par le BSIF.<\/p>\n Cette obligation de signalement est de nature continue et le BSIF s\u2019attend \u00e0 ce que les IFF fassent p\u00e9riodiquement le point \u00e0 mesure que de nouveaux renseignements deviennent disponibles. Toute omission de signaler un incident peut \u00ab\u00a0exposer l\u2019entreprise \u00e0 une surveillance accrue.\u00a0\u00bb<\/p>\n Les mesures d\u00e9crites pr\u00e9c\u00e9demment ont amen\u00e9 le BSIF \u00e0 publier, en juillet 2022, la ligne directrice\u00a0B-13<\/a> pour une entr\u00e9e en vigueur le 1er<\/sup>\u00a0janvier 2024. Ces \u00e9ch\u00e9ances ont \u00e9t\u00e9 fix\u00e9es afin d\u2019accorder aux IFF suffisamment de temps pour se conformer \u00e0 ces lignes directrices. L\u2019adoption et l\u2019utilisation acc\u00e9l\u00e9r\u00e9es et g\u00e9n\u00e9ralis\u00e9es des technologies ainsi que la progression correspondante des cyberincidents et des cyberattaques sont les principaux enjeux qui ont men\u00e9 \u00e0 la publication par le BSIF de cette plus r\u00e9cente ligne directrice<\/a>, selon ce qui a \u00e9t\u00e9 annonc\u00e9 le 13 juillet 2022.<\/p>\n La ligne directrice\u00a0B-13 s\u2019articule autour des enjeux que le BSIF d\u00e9crit comme \u00ab\u00a0les domaines de la saine gestion de la technologie et de la cybers\u00e9curit\u00e9\u00a0\u00bb, comme suit\u00a0: i) Gouvernance et gestion du risque; ii)\u00a0Activit\u00e9s et r\u00e9silience technologiques; et iii)\u00a0Cybers\u00e9curit\u00e9. Le BSIF s\u00e9pare ensuite ces domaines selon les principes applicables \u00e0 chacun d\u2019eux (et auxquels les IFF doivent adh\u00e9rer). Chacun de ces \u00ab\u00a0domaines\u00a0\u00bb d\u00e9crit les facteurs essentiels pour l\u2019instauration de saines pratiques de s\u00e9curit\u00e9 de l\u2019information au sein des institutions financi\u00e8res, tandis que les principes font \u00e9tat de domaines cibl\u00e9s pour atteindre les objectifs relatifs \u00e0 chaque domaine. Pour obtenir des renseignements sur ces principes, cliquez sur l\u2019hyperlien fourni pour chacun des domaines ci?dessous\u00a0:<\/p>\n Principe\u00a01\u00a0: Responsabilit\u00e9 et structure organisationnelle; Principe\u00a02\u00a0: Strat\u00e9gie en mati\u00e8re de technologie et de cybers\u00e9curit\u00e9; Principe\u00a03\u00a0: Cadre de gestion du risque li\u00e9 aux technologies et du cyberrisque.<\/p>\n Principe\u00a04\u00a0: Architecture technologique; Principe\u00a05\u00a0: Gestion des actifs technologiques; Principe\u00a06\u00a0: Gestion de projets technologiques; Principe\u00a07\u00a0: Cycle de d\u00e9veloppement des syst\u00e8mes; Principe\u00a08\u00a0: Gestion des changements et des versions; Principe\u00a09\u00a0: Gestion des correctifs; Principe\u00a010\u00a0: Gestion des incidents et des probl\u00e8mes; Principe\u00a011\u00a0: \u00c9valuation et suivi des services technologiques; Principe\u00a012\u00a0: Reprise apr\u00e8s sinistre; Principe\u00a013\u00a0: Mise \u00e0 l\u2019essai des sc\u00e9narios.<\/p>\n Principe\u00a014 \u2013 Recensement des faiblesses en mati\u00e8re de cybers\u00e9curit\u00e9; Principe\u00a015 \u2013 Contr\u00f4les de cybers\u00e9curit\u00e9; Principe\u00a016 \u2013 Recensement des incidents en mati\u00e8re de cybers\u00e9curit\u00e9; Principe\u00a017 \u2013 R\u00e9pondre, r\u00e9tablir et apprendre.<\/p>\n Le secteur des technologies continue d\u2019\u00e9voluer rapidement. Il est plus important que jamais que les autorit\u00e9s gouvernementales et de r\u00e9glementation, comme le BSIF, r\u00e9agissent en mettant en \u0153uvre des cadres de gestion des risques judicieux et proportionnels aux risques et aux d\u00e9fis en constante \u00e9bullition (sur le plan g\u00e9opolitique et autres) auxquels le monde est confront\u00e9 de nos jours. Les nombreux intervenants dans cet \u00e9cosyst\u00e8me et les autorit\u00e9s de r\u00e9glementation correspondantes doivent exercer une vigilance constante pour que les consommateurs puissent continuer d\u2019avoir foi et confiance dans leurs institutions financi\u00e8res.<\/p>\n","protected":false},"excerpt":{"rendered":" Dans son premier Regard annuel sur le risque pour l\u2019exercice\u00a02022-2023, le Bureau du surintendant des institutions financi\u00e8res (BSIF) a recens\u00e9 les risques les plus importants auxquels sont confront\u00e9es les institutions financi\u00e8res \u00e0 charte f\u00e9d\u00e9rale (IFF). Le BSIF rel\u00e8ve que les incidents majeurs de cybers\u00e9curit\u00e9 ou les attaques informatiques font partie des risques financiers les plus […]<\/p>\n","protected":false},"author":5,"featured_media":14345,"parent":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[584],"insight-format":[469],"class_list":["post-11782","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite"],"acf":[],"yoast_head":"\nRan\u00e7ongiciels et institutions financi\u00e8res<\/h2>\n
Lignes directrices du BSIF<\/h2>\n
Avis de violation des donn\u00e9es<\/h2>\n
Domaines et principes de cybers\u00e9curit\u00e9 dans les institutions financi\u00e8res<\/h2>\n
i) Domaine de la gouvernance et de la gestion du risque<\/a> \u2013 Principes<\/h3>\n
ii) Activit\u00e9s et r\u00e9silience technologiques<\/a> \u2013 Principes<\/h3>\n
iii) Cybers\u00e9curit\u00e9<\/a> \u2013 Principes<\/h3>\n
Conclusion<\/h2>\n