Cybersécurité et technologie

« La gestion proactive des risques liés à la cybersécurité est indispensable à la stabilité des sociétés réglementées par l’OCRI, à l’intégrité des marchés financiers canadiens et à la protection des investisseurs. » Andrew Kriegler, président et chef de la direction, OCRI.

Sommaire sur la cybersécurité

La cybersécurité est une préoccupation fondamentale des courtiers et de l’OCRI. Depuis quelques années, elle fait partie des priorités clés de l’organisme.

L’OCRI s’engage à aider les sociétés membres à renforcer leurs méthodes de gestion des risques et à accroître leur capacité d’intervention en matière de cybersécurité. Les initiatives de l’OCRI comprennent des sondages d’autoévaluation, des consultations individuelles avec des professionnels de la cybersécurité et des exercices de simulation. Nous offrons aussi des ressources pédagogiques, comme des guides sur les pratiques exemplaires et des webinaires, afin d’aider les courtiers membres à mettre en place des contrôles de gestion des risques et des plans d’intervention efficaces pour contrer les cybermenaces et les cyberattaques.

Quoi de neuf?

  • En 2023, l’OCRI a organisé deux exercices de simulation de cybersécurité pour ses courtiers membres de petite et moyenne taille. Reportez-vous à l’avis connexe pour plus de détails.
  • Nous avons préparé un guide d’intervention en présence d’un rançongiciel (PDF) qui peut servir de marche à suivre lorsqu’il faut gérer des incidents causés par un rançongiciel.
  • Nous avons mis au point un outil d’autoévaluation de la cybersécurité pour les courtiers en placement de petite et de moyenne taille. L’outil vise à aider les courtiers en placement à repérer les points forts et les points faibles en fonction des pratiques de sécurité de l’information. Grâce à cet avis, les membres peuvent demander une copie de l’outil et accéder à une courte vidéo instructive. (21 juillet 2022)
  • Nous avons publié le document Principes fondamentaux de la gestion du risque technologique (à la page Guides et ressources [PDF]) afin d’aider principalement les courtiers en placement de petite et de moyenne taille à prendre les premières mesures visant à évaluer et à gérer le risque technologique. Ce guide fournit de l’information utile aux courtiers en placement qui souhaitent élaborer un programme de gestion du risque technologique. (31 mars 2021)
  • Nous avons publié l’avis Cybersécurité – Rançongiciels qui décrit ce que les courtiers en placement et leurs employés doivent faire pour se prémunir contre une attaque par rançongiciel, la détecter si elle survient, y réagir et rétablir leurs activités. L’avis fournit également quelques renseignements sur le Groupe national de coordination contre la cybercriminalité de la GRC ou GNC3. (16 mars 2021)
  • Vous pouvez nous signaler un incident de cybersécurité à l’adresse [email protected]
  • Nous observons une hausse du nombre de cyberattaques et de cas de fraude visant les clients de nos courtiers membres. Nous avons publié l’avis La cybersécurité et la fraude – Protéger les clients qui décrit les types de cyberattaques à surveiller et explique ce que les sociétés et les conseillers peuvent faire pour prévenir ou limiter les pertes des clients. L’avis explique également comment signaler les cyberincidents à l’OCRCVM (maintenant l’OCRI). (9 novembre 2020)
  • Nous avons mis en ligne deux webinaires : un intitulé Cybersécurité et gouvernance et l’autre, Le point sur les cybermenaces. Vous pouvez y accéder en cliquant sur le lien Webémissions. (29 octobre 2020)
  • Les services infonuagiques et les interfaces de programmation d’applications sont de plus en plus ciblés, et leurs vulnérabilités, exploitées par les pirates informatiques. Nous avons émis un avis recommandant certains contrôles que les sociétés peuvent envisager afin de gérer ces risques. (24 juin 2020)
  • Nous avons publié un avis destiné aux conseillers et aux autres employés des courtiers membres dans lequel nous leur présentons quelques conseils sur la façon de prévenir les cyberattaques et d’y réagir, même lorsqu’ils travaillent de la maison. (21 avril 2020)
  • Un avis publié fournit de l’information aux courtiers membres en placement sur les cybermenaces liées à la pandémie de COVID-19 ainsi que des conseils pour aider les sociétés et leurs employés à se protéger et à protéger les renseignements sur leurs clients. (30 mars 2020)
  • Nous avons publié le nouveau Guide de cybergouvernance. Vous le trouverez à la page Guides et ressources. (3 mars 2020)

Information sur la cybersécurité

Sommaire du signalement des incidents

L’OCRI a mis en œuvre une règle qui exige que les courtiers membres lui signalent tout incident de cybersécurité.

Sondages d’autoévaluation

En 2016 et en 2018, l’OCRCVM (maintenant l’OCRI) a réalisé des sondages d’autoévaluation sur l’état de préparation en matière de cybersécurité auprès de tous les courtiers membres. Chaque courtier membre a reçu un rapport confidentiel exposant son degré de préparation et contenant des recommandations générales sur les aspects méritant une attention prioritaire.

Visites sur place

En 2017 et en 2019, l’OCRCVM (maintenant l’OCRI) a eu recours aux services de consultants en cybersécurité et a effectué des visites chez certains courtiers membres dont le degré de préparation était inférieur à la cible établie pour leur groupe de pairs.

Exercices de simulation

L’OCRI organise des exercices de simulation pour aider les courtiers de petite et de moyenne taille à améliorer leur état de préparation en matière de cybersécurité ainsi que leurs méthodes de gestion des risques.

Guides et ressources

L’OCRI a publié des guides et des ressources pour aider les courtiers à se protéger et à protéger leurs clients contre les cybermenaces et les cyberattaques.

Liens utiles

Voici des liens vers de l’information et des ressources sur la cybersécurité fournies par le gouvernement du Canada.

Renseignements