Alerte aux investisseurs :
L’OCRI met en garde les investisseurs canadiens contre les fraudeurs qui usent d’un stratagème de récupération d’argent en usurpant l’identité de l’OCRI.
Aperçu
L’OCRCVM a mis au point un outil d’autoévaluation de la cybersécurité (outil d’autoévaluation) destiné principalement à ses petites et moyennes sociétés membres. L’outil d’autoévaluation vise à aider les sociétés membres à repérer les points forts et les points faibles de leurs pratiques en matière de sécurité de l’information. La portée de l’outil englobe la plupart des pratiques des sociétés membres qui ont une incidence sur la cybersécurité.
Contexte
Les autoévaluations régulières1 sont un élément essentiel du programme de cybersécurité des sociétés. Elles aident ces dernières à repérer les lacunes et les vulnérabilités dans leurs contrôles de cybersécurité, ainsi qu’à renforcer et à améliorer leur situation et leur niveau de préparation en matière de cybersécurité.
L’OCRCVM a exigé que toutes ses sociétés membres mènent des autoévaluations obligatoires en 2016 et de nouveau en 2018. Les résultats ont fourni à l’OCRCVM et aux sociétés de précieux renseignements sur la situation et le niveau de préparation des sociétés et du secteur en matière de cybersécurité. Ils ont aidé à orienter les interventions et les initiatives de formation futures de l’OCRCVM, et ont permis aux sociétés de repérer les points à améliorer.
À la suite du succès des autoévaluations antérieures, et compte tenu de l’importance des autoévaluations régulières, l’OCRCVM a mis au point un outil d’autoévaluation gratuit pour encourager ses sociétés membres à évaluer continuellement leur situation en matière de cybersécurité.
Nous avons retenu les services de Deloitte, qui a élaboré et facilité les autoévaluations obligatoires en 2016 et en 2018, pour mettre au point le nouvel outil d’autoévaluation. L’outil d’autoévaluation a été mis à l’essai par un groupe de travail composé d’experts en technologies de l’information et en sécurité provenant de petites et moyennes sociétés membres de l’OCRCVM. Ce groupe a ainsi fourni de la rétroaction à l’OCRCVM et à Deloitte pour les aider à rendre l’outil adéquat, convivial, accessible et utile pour les sociétés membres.
Sur quel cadre l’outil d’autoévaluation est-il fondé?
L’outil d’autoévaluation est fondé sur la version 1.1 du cadre de cybersécurité du NIST ainsi que sur la version 1.0 et sur certaines parties de la version 2.0 de la certification du modèle de maturité de la cybersécurité (CMMC)2 . Le questionnaire facile à utiliser permet de repérer les capacités qui devraient être mises en œuvre dans divers domaines et aide les sociétés à déterminer les points à améliorer.
Quelles sont les attentes de l’OCRCVM à l’égard de l’utilisation de l’outil d’autoévaluation?
L’utilisation de l’outil d’autoévaluation est facultative. Cependant, compte tenu de la menace croissante des cyberattaques et du risque de cyberinfractions, nous encourageons vivement toutes les sociétés à effectuer une autoévaluation de la cybersécurité aussi souvent que nécessaire, et au moins tous les deux ans afin d’évaluer leur situation et leur niveau de préparation en matière de cybersécurité et de cerner toute lacune importante.
Comment accéder à l’outil d’autoévaluation?
L’outil d’autoévaluation est offert aux sociétés membres de l’OCRCVM. La personne désignée responsable, le chef des finances ou le chef de la conformité d’une société peut demander une copie de l’outil d’autoévaluation auprès de l’OCRCVM au moyen de ce formulaire.
Comment utiliser l’outil d’autoévaluation?
Procédez comme suit :
Quels rapports ou résultats l’outil d’autoévaluation fournit-il?
Les résultats de l’autoévaluation fournissent une indication du risque relatif associé à l’ensemble des mesures de cybersécurité protégeant la société membre de l’OCRCVM faisant l’objet de l’évaluation.
Ces résultats sont résumés dans trois rapports principaux :
Comment puis-je obtenir plus d’information sur l’utilisation de l’outil d’autoévaluation?
Pour obtenir plus d’information sur l’outil d’autoévaluation, vous pouvez faire ce qui suit :