Personne(s)-ressource(s)
Sommaire
En 2023, l’Organisme canadien de réglementation des investissements (OCRI) a organisé deux exercices de simulation de cybersécurité pour ses courtiers membres de petite et moyenne taille. Ces exercices ont consisté en une série d’études de cas. Les participants devaient discuter des interventions de crise en petits groupes en présence d’un animateur. L’objectif de ces exercices était de permettre aux courtiers de petite et de moyenne taille d’améliorer leur résilience en matière de cybersécurité, d’échanger de l’information et d’acquérir des connaissances auprès de leurs pairs du secteur des valeurs mobilières et d’experts de la gestion des cyberrisques, du droit relatif à la protection des renseignements personnels et de la cyberassurance.
Comme suite à ces exercices, nous publions un guide d’intervention en présence d’un rançongiciel. Celui-ci décrit les étapes générales qu’un courtier membre doit suivre pour s’assurer d’une intervention rapide, coordonnée et efficace en cas d’attaque par rançongiciel.
1. Exercices de simulation de cybersécurité
1.1 Contexte et objectifs
En 2018, l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM), l’un des deux organismes qui ont précédé l’OCRI, a organisé un exercice de simulation de cybersécurité pour ses courtiers membres de petite et moyenne taille. Après le succès de cet exercice, et comme il est mentionné dans nos priorités en matière de conformité de 2022-2023 et dans nos priorités pour l’exercice 2024, l’OCRI a organisé d’autres exercices en 2023 pour ses courtiers membres, lesquels réunissent désormais les courtiers en placement et les courtiers en épargne collective.
Les exercices s’adressaient aux courtiers de petite et moyenne taille, puisque ceux‑ci n’ont généralement pas les ressources dont disposent les courtiers de grande taille pour gérer les cyberrisques. Les objectifs des exercices étaient les suivants :
- sensibiliser les courtiers aux cybermenaces courantes qui planent sur le secteur des placements;
- mettre en évidence les écarts entre l’état actuel et la résilience voulue;
- intensifier la préparation en vue des menaces probables.
1.2 Déroulement des exercices
Les exercices consistaient en deux études de cas distinctes – un incident causé par un rançongiciel et un incident causé par une menace interne – qui portaient sur la détection des menaces, la coordination de l’intervention et l’évaluation des répercussions.
Les exercices se sont déroulés à deux emplacements : à Toronto le 26 octobre 2023 et à Calgary le 1er novembre 2023. Les participants ont été divisés en deux groupes de travail. Ils ont joué des rôles définis au préalable au sein d’un courtier membre typique et discuté d’interventions en situation de crise en fonction des scénarios.
Près de 200 personnes physiques provenant de 128 courtiers membres de l’OCRI ont participé aux exercices. Les participants représentaient un éventail diversifié de fonctions au sein des courtiers membres de l’OCRI, dont la gouvernance, la conformité, la cybersécurité, les technologies de l’information, les opérations, les ventes et les finances.
Un certain nombre d’experts ont apporté leur soutien aux exercices :
- Juno Risk Solutions Inc. (Juno), dont les services ont été retenus par l’OCRI, a élaboré et animé les exercices de simulation;
- un groupe de travail composé d’experts en technologies de l’information et en sécurité provenant de courtiers membres de petite et moyenne taille de l’OCRI a fourni de la rétroaction à l’OCRI et à Juno pour les aider à rendre les scénarios des exercices pertinents et utiles;
- des représentants de quatre cabinets d’avocats canadiens (Bennett Jones, Borden Ladner Gervais, Fasken Martineau DuMoulin et Norton Rose Fulbright) ont fourni des conseils aux participants à l’égard des aspects légaux;
- des représentants de trois compagnies d’assurance (Axis Capital, Marsh Canada et Travelers Canada) ont fourni leur expertise non seulement sur le plan des questions d’assurance, mais aussi en participant à l’animation de nombreuses discussions de groupe.
Nous sommes très reconnaissants de la participation et du soutien précieux de tous pour faire des exercices un succès.
2. Guide d’intervention en présence d’un rançongiciel
Les attaques par rançongiciel, qui demeurent courantes, se multiplient et se raffinent, entraînent de lourdes pertes financières ou un préjudice réputationnel considérable pour un certain nombre de sociétés. Une intervention rapide, coordonnée et efficace en cas de cyberattaque est essentielle pour protéger les courtiers membres et leurs investisseurs, employés et parties prenantes.
Nous avons préparé un guide d’intervention en présence d’un rançongiciel (PDF) qui peut servir de marche à suivre lorsqu’il faut gérer des incidents causés par un rançongiciel. Nous avons aussi publié un avis intitulé Cybersécurité – Rançongiciels en 2021, lequel fournit aux courtiers membres quelques étapes de base à suivre pour prévenir et détecter les attaques par rançongiciel, intervenir en cas d’une telle attaque et rétablir leurs activités après une telle attaque.
3. Renseignements supplémentaires
Consulter la page Cybersécurité et technologie de notre site Web pour obtenir des guides et des ressources supplémentaires qui aident les courtiers membres de l’OCRI à se protéger et à protéger leurs clients contre les cybermenaces et les cyberattaques.