Conformité avec les exigences de l’OCRCVM en matière de signalement des incidents de cybersécurité

Aperçu

La présente note d’orientation décrit les exigences de l’OCRCVM relatives au paragraphe 3703(1) et à l’alinéa 3703(2)(vii) des Règles de l’OCRCVM (les exigences en matière de signalement des incidents de cybersécurité) et fournit également des conseils aux courtiers membres (les courtiers) sur la façon de montrer qu’ils se conforment aux exigences de l’OCRCVM. La présente note d’orientation remplace la note GN-3700-21-005 de l’OCRCVM.

Grâce aux exigences en matière de signalement des incidents de cybersécurité, l’OCRCVM a pu :

• fournir un soutien aux courtiers touchés afin de s’assurer que des mesures appropriées ont été prises pour évaluer l’incident, y remédier et reprendre leurs activités;
• alerter les autres courtiers à propos des vulnérabilités potentielles ou des menaces imminentes1 ;
• publier des notes éducatives à l’intention des courtiers sur la manière de gérer les incidents qui se multiplient ou qui sont fréquents2 ;
• évaluer et élaborer d’autres mesures visant à sensibiliser les courtiers et le secteur dans son ensemble aux problèmes de cybersécurité et à renforcer leur résilience en matière de cybersécurité.

1. Exigences de l’OCRCVM

Outre les exigences en matière de signalement des incidents de cybersécurité, les autres exigences pertinentes de l’OCRCVM sont les suivantes3  :

• La Règle 1404 de l’OCRCVM exige des courtiers qu’ils tiennent à jour des politiques et procédures concernant la conduite de leurs affaires et l’exercice de leurs activités;
• La Règle 1405 et la Règle 3804 de l’OCRCVM exigent des courtiers qu’ils tiennent des livres et des registres minimaux acceptables pour montrer qu’ils se conforment aux exigences de l’OCRCVM;
• La Règle 1406 de l’OCRCVM exige que des courtiers se conforment à toutes les exigences de l’OCRCVM, lois sur les valeurs mobilières et autres lois applicables à leurs activités;
• La Partie B de la Règle 4200 des Règles de l’OCRCVM exige que les courtiers :
  • conçoivent et mettent en œuvre des contrôles suffisants et appropriés pour garantir le respect de toutes les exigences de l’OCRCVM,
  • tiennent à jour des politiques et des procédures écrites de ces contrôles;
• La Partie A de la Règle 4700 des Règles de l’OCRCVM exige que les courtiers établissent et tiennent à jour un plan de continuité des activités qui est adapté à leurs activités et qui indique les procédures à suivre en cas de perturbation importante des activités.

2. Exigences en matière de signalement des incidents de cybersécurité

Conformément aux exigences en matière de signalement des incidents de cybersécurité, les courtiers doivent :

• transmettre à l’OCRCVM, dans les trois jours suivant leur découverte, un rapport (le rapport initial) sur les incidents de cybersécurité qui représentent tout acte visant à obtenir un accès non autorisé au système informatique ou à l’information qui y est stockée d’un courtier, à désorganiser ce système informatique ou cette information ou à en faire mauvais usage et qui donne lieu, ou qui est raisonnablement susceptible de donner lieu, à ce qui suit :
  • il cause un grave préjudice à une personne ou il a d’importantes répercussions sur les activités,
  • il déclenche le plan de continuité des activités ou le plan de reprise après sinistre de la société,
  • il oblige le courtier, conformément aux lois applicables, à en aviser un organisme gouvernemental ou une autorité ou un organisme de réglementation;
• transmettre à l’OCRCVM un rapport d’enquête sur l’incident dans les 30 jours suivant la découverte de ce dernier (le rapport d’enquête sur l’incident).

Les exigences précisent également les renseignements qui doivent être fournis lorsqu’un incident est signalé à l’OCRCVM.

2.1 Détermination de ce qui constitue un incident de cybersécurité

Les courtiers doivent élaborer des critères permettant de déterminer ce qui, au sein de leur société, constitue un incident de cybersécurité devant être signalé à l’OCRCVM, notamment :

• ce qui est considéré comme un « grave préjudice » causé à une personne;
• ce qui représente d’« importantes répercussions sur les activités normales ».

La définition d’incident de cybersécurité est large, puisqu’il faut tenir compte de la nature évolutive du risque de cybersécurité, et s’applique notamment aux incidents qui :

• touchent des renseignements personnels et pourraient devoir être signalés aux termes des obligations d’information prévues par les lois sur la protection des renseignements personnels, y compris la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE);
• nuisent à la capacité du courtier de s’acquitter de ses obligations envers ses clients et contreparties;
• touchent des personnes tant physiques que morales.

Les courtiers doivent faire preuve de jugement lorsqu’ils déterminent si un incident est raisonnablement susceptible (i) de causer un grave préjudice à une personne4  ou (ii) d’avoir d’« importantes répercussions » sur ses activités normales, compte tenu de sa taille, de son modèle d’affaires et de la nature de l’incident de cybersécurité.

Par exemple, un incident peut être considéré comme « important » si le courtier, dans le cours normal de ses activités, le signale à la haute direction. En outre, les courtiers ne doivent pas examiner les incidents isolément. Un incident négligeable en soi peut néanmoins être considéré comme important ou susceptible de causer un grave préjudice s’il se reproduit ou a des répercussions importantes5 .

Lorsqu’ils évaluent ce qui constitue le « système informatique » du courtier ou l’« information qui y est stockée », les courtiers doivent également tenir compte des éléments fournis par des fournisseurs de services externes ou des tiers.

2.2 Production du rapport initial

Le rapport initial est un aperçu des renseignements pertinents sur un incident de cybersécurité qu’un courtier fournit immédiatement après la découverte de l’incident et qui n’est qu’une évaluation provisoire de l’incident.

Les exigences en matière de signalement des incidents de cybersécurité précisent les renseignements qui doivent être fournis dans le rapport initial, mais le courtier devrait transmettre à l’OCRCVM tous les renseignements pertinents sur l’incident de cybersécurité. Nous reconnaissons que les courtiers peuvent ne pas disposer d’une analyse complète dans les trois jours civils suivant la découverte de l’incident de cybersécurité et nous nous attendons à ce qu’ils soumettent les meilleurs renseignements à leur disposition au moment du signalement6 .

Si un courtier constate un possible incident de cybersécurité, mais qu’il n’est pas certain que celui-ci correspond à la définition d’incident de cybersécurité qui doit être signalé, nous lui recommandons de communiquer avec le chef de la conformité des finances et des opérations (la CFO) responsable de sa société pour obtenir de l’aide. De même, si après avoir signalé un incident de cybersécurité à l’OCRCVM dans le délai de trois jours, il détermine qu’il n’y a pas eu d’incident de cybersécurité au sens des Règles de l’OCRCVM, il doit aviser l’OCRCVM de ce changement dans l’évaluation. Si l’organisme juge que la justification fournie par le courtier est suffisante, alors le courtier n’a pas besoin de fournir un rapport d’enquête sur l’incident à l’OCRCVM7 .

2.3 Production du rapport d’enquête sur l’incident

Le rapport d’enquête sur l’incident est un rapport plus détaillé qu’un courtier produit après une enquête approfondie8  sur l’incident de cybersécurité. Les exigences en matière de signalement des incidents de cybersécurité précisent les renseignements qui doivent être communiqués à l’OCRCVM dans le rapport d’enquête sur l’incident. Le courtier doit y inclure les éléments suivants :

• tous les renseignements pertinents qui lui permettent de déterminer la nature, la portée, l’étendue9 , les répercussions et les causes profondes de l’incident de cybersécurité;
• les mesures qu’il a prises pour atténuer le risque, réparer les préjudices découlant de l’incident de cybersécurité et améliorer de manière générale l’état de préparation à un incident de cybersécurité.

Le courtier qui obtient de nouveaux renseignements importants sur l’incident de cybersécurité après avoir produit le rapport d’enquête sur l’incident doit les communiquer à l’OCRCVM.

Si le courtier a besoin de plus de temps pour produire le rapport d’enquête sur l’incident, il doit en aviser le chef de la CFO responsable de sa société et lui transmettre les renseignements suivants :

• la raison pour laquelle il a besoin de plus de temps;
• la date où il prévoit terminer le rapport;
• la date où il soumettra ce rapport.

Si l’OCRCVM accepte de prolonger le délai, le courtier devrait le tenir au courant de l’état d’avancement de son enquête et des mesures qu’il prend.

3. Preuve de la conformité avec les exigences en matière de signalement des incidents de cybersécurité

Les courtiers doivent être en mesure de montrer à l’OCRCVM qu’ils satisfont à toutes les règles et exigences applicables.

Les courtiers peuvent prouver leur conformité avec les exigences en matière de signalement des incidents de cybersécurité au moyen des éléments d’information suivants :

• des politiques et procédures détaillées concernant le signalement des incidents de cybersécurité10  qui :
  • s’alignent sur les exigences de l’OCRCVM;
  • intègrent des procédures qui visent à détecter, à évaluer et à signaler (tant à l’interne qu’à l’externe) les incidents de cybersécurité qui se produisent chez le courtier ou ont une incidence sur celui-ci, à atténuer le risque et à réparer les préjudices découlant de ces incidents de cybersécurité ;
  • fournissent des critères détaillés en ce qui a trait aux définitions de « grave préjudice » et d’« importantes répercussions », de sorte qu’une personne raisonnable soit en mesure d’évaluer si un incident de cybersécurité particulier répond aux exigences minimales de signalement à l’OCRCVM – dans le cas des grandes entités ou des entités internationales où les fonctions sont centralisées, les politiques et les procédures devraient indiquer les exigences réglementaires applicables au courtier et prévoir des évaluations distinctes de l’importance, de la gravité et de l’ampleur de l’incident ainsi que d’autres seuils qui tiennent compte des activités et de la taille du courtier;
  • précisent les personnes et les services responsables des politiques et procédures, y compris les personnes chargées de signaler les incidents à l’OCRCVM, et les diverses fonctions et tâches qui leur sont attribuées;
  • sont réexaminées fréquemment afin de déterminer si les politiques doivent être mises à jour ou si un critère doit être réévalué;
• un journal ou un rapport à jour relevant tous les incidents de cybersécurité découverts qui se sont produits chez le courtier ou ont eu une incidence sur celui-ci, qui comprend, entre autres, les raisons justifiant la décision de signaler ou de ne pas signaler l’incident, selon le cas, à l’OCRCVM,
• une preuve des communications, comme il est indiqué dans les politiques et procédures, au cours desquelles la haute direction a discuté des incidents de cybersécurité qui se sont produits chez le courtier ou qui ont une incidence sur celui-ci, et a déterminé s’ils devaient ou non être signalés à l’OCRCVM;
• une preuve attestant que toutes les mesures correctives qui s’imposaient ont été prises, comme il est indiqué dans les politiques et procédures, pour réduire le risque de préjudice découlant des incidents de cybersécurité, remédier aux incidents de cybersécurité et améliorer l’état de préparation à un incident de cybersécurité.

4. Non-conformité avec les exigences en matière de signalement des incidents de cybersécurité

Le groupe de la CFO de l’OCRCVM examinera les données probantes sur les contrôles que le courtier a mis en place pour assurer la conformité avec les exigences de signalement des incidents de cybersécurité et toutes les exigences applicables de l’OCRCVM au cours d’inspections sur place régulières. Si le courtier n’est pas en mesure de démontrer qu’il a conçu et mis en œuvre des contrôles suffisants et appropriés pour assurer la conformité avec les règles de l’OCRCVM, ou si les contrôles, tels qu’ils ont été conçus et mis en œuvre, ne fonctionnent pas efficacement, l’OCRCVM pourrait, à la suite d’une inspection, prendre des mesures, notamment une ou plusieurs des mesures suivantes : accroissement de la fréquence des inspections, imposition de frais administratifs ou de pénalités, et imposition de conditions.

5. Autres ressources

Vous trouverez des renseignements supplémentaires sur la gestion des cybermenaces ainsi que des ressources telles que des guides et des webinaires sur le site Web de l’OCRCVM, à la page Cybersécurité et technologie.

6. Dispositions applicables

La présente note d’orientation se rapporte aux dispositions suivantes des Règles de l’OCRCVM :

• articles 1404 à 1406;
• paragraphe 3703(1) et alinéa 3703(2)(vii);
• article 3804;
• Partie B de la Règle 4200;
• Partie A de la Règle 4700.

7. Note d’orientation antérieure

La présente note d’orientation remplace la note GN-3700-21-005 Foire aux questions – Signalement obligatoire des incidents de cybersécurité.

8. Document connexe

La présente note d’orientation est aussi publiée dans l’Avis 22-0024.

• 1L’OCRCVM ne révèle pas aux autres courtiers ou au public le nom des courtiers qui signalent des incidents de cybersécurité. Tous les renseignements concernant les incidents de cybersécurité signalés que nous communiquons au public ou aux autres courtiers sont préalablement anonymisés.
• 2Consulter les avis relatifs à la formation suivants : La COVID-19 et la cybersécurité (20-0061), La COVID-19 et la cybersécurité – Conseils pour les conseillers et les autres employés des courtiers membres (20-0083), La COVID-19 et la cybersécurité – Les services d’accès à distance (20-0100), Cybersécurité – Services infonuagiques et interfaces de programmation d’applications (20-0133), La cybersécurité et la fraude – Protéger les clients (20-0235) et Cybersécurité – Rançongiciels (21-0050).
• 3Il ne s’agit pas d’une liste exclusive des exigences connexes applicables de l’OCRCVM.
• 4Un « grave préjudice » peut être causé à une personne tant physique que morale et peut comprendre un événement autre que la simple utilisation inappropriée de renseignements personnels.
• 5Par exemple, un incident qui ralentit le site Web ou le système interne d’un courtier, lorsqu’il est pris en compte isolément, peut ne pas avoir d’importantes répercussions sur les activités du courtier, mais il peut devenir important et donc devoir être signalé s’il se répète ou s’il touche un certain nombre d’activités, de services ou de personnes.
• 6Les courtiers doivent communiquer avec le chef de la CFO responsable de leur société pour signaler l’incident. Lorsque l’OCRCVM reçoit le rapport initial, il organise une rencontre, si possible le jour même, pour discuter des détails préliminaires de l’incident de cybersécurité et des prochaines étapes. Seront présentes à la réunion les personnes suivantes :
  • les cadres supérieurs de la CFO;
  • les cadres supérieurs de la Technologie de l’information et de la Sécurité de l’information de l’OCRCVM;
  • le chef de la direction, le chef des finances, le chef des technologies de l’information / de la sécurité de l’information et le chef de la conformité du courtier.
• 7Nous recommandons aux courtiers de demander à un conseiller juridique externe et à des professionnels de la cybersécurité de confirmer ce qui suit afin d’appuyer leur évaluation indiquant qu’un incident de cybersécurité n’a pas eu lieu :• l’incident n’a pas entraîné une violation des droits à la protection des renseignements personnels ou causé tout autre grave préjudice à une personne;• l’incident n’a pas entraîné d’importantes répercussions sur leurs systèmes informatiques ou sur l’information qui y est stockée;• toute mesure prise est suffisante et conforme à toutes les lois applicables, y compris les lois sur la protection des renseignements personnels.
• 8Bien que le courtier puisse charger son propre personnel des TI ou son fournisseur de services gérés d’enquêter sur les causes profondes de l’incident de cybersécurité, nous lui recommandons d’avoir recours à des experts en enquête informatique s’il :• ne possède pas les connaissances, ressources et outils spécialisés dont il a besoin pour mener une enquête approfondie sur l’incident de cybersécurité;• souhaite gérer les conflits d’intérêts potentiels.
• 9Voici quelques exemples de renseignements à inclure sur l’étendue et les répercussions de l’incident : l’information stockée dans le système informatique du courtier qui a été touchée, y compris les données sur les clients, le nombre d’appareils touchés, le nombre de jours ouvrables pendant lesquels les activités du courtier ont été touchées, une estimation des coûts engagés pour clore l’incident, y compris (s’il y a lieu) le montant de la franchise de la cyberassurance, etc.
• 10Les courtiers doivent disposer d’un plan de gestion et d’intervention en cas d’incident de cybersécurité qui précise leurs obligations en matière de signalement.