Cyberattaques : les sociétés de placement mieux préparées

Les sociétés de placement canadiennes sont mieux préparées qu’auparavant pour faire face à d’éventuels actes de piratage électronique, selon un sondage publié mardi par l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM).

Menée en novembre dernier auprès de toutes les sociétés réglementées par l’OCRCVM, cette enquête montre que depuis le dernier sondage réalisé en 2016, la plupart de ces entreprises ont en effet pris des mesures concrètes en matière d’évaluation des risques, de formation du personnel et de plans d’intervention en cas d’incident pour mettre sur pied des programmes de cybersécurité destinés « à gérer les menaces et à protéger leurs clients et leurs activités ».

L’Organisme indique que le sondage, basé sur un cadre élaboré par le National Institute of Standards and Technology, portait sur la gouvernance, le degré de sécurité, le degré de vigilance et la résilience des sociétés interrogées. Il précise avoir déjà communiqué à chacune d’elles les résultats de son évaluation et leur avoir également indiqué quelles étaient leurs principales lacunes en matière de cybersécurité.

« MAINTENIR L’INTÉGRITÉ DES MARCHÉS »

L’enquête révèle notamment que la quasi-totalité des sociétés (94 %) évaluent les cyberrisques que présentent les tiers avant de conclure un contrat avec ceux-ci, alors qu’en 2016, cette proportion était de seulement 70 %.

En outre, 82 % des entreprises dispensent à leurs employés une formation sur la cybersécurité au moins une fois par an (comparativement à 56 %), tandis que 72 % d’entre elles sont dotées d’un plan d’intervention en cas d’attaque (contre 53 %). Plus de la moitié (55 %) des sociétés ont par ailleurs acheté une police de cyberassurance (37 % en 2016). Enfin, de 2016 à 2018, le nombre de sociétés présentant un risque élevé de subir une cyberattaque a diminué. Fait important à noter, ce sont les petites entités qui ont le plus contribué à cette baisse.

Selon l’OCRCVM, ces résultats permettront aux entreprises de « cibler les domaines où elles peuvent augmenter encore plus leur degré de préparation en matière de cybersécurité, par exemple en effectuant des évaluations des répercussions ou du risque lié aux renseignements personnels, ou en surveillant le Web invisible pour détecter les renseignements les concernant qui y circulent ».

« Nous travaillons étroitement avec les sociétés pour gérer les risques liés à la cybersécurité et protéger les données, dans le cadre de notre mandat qui consiste à protéger les investisseurs et à maintenir l’intégrité des marchés. L’augmentation marquée du nombre de sociétés qui ont apporté des changements importants à leur programme de cybersécurité montre qu’elles tiennent à protéger leurs clients des futures menaces », applaudit dans le communiqué Louis Piergeti, vice-président à la conformité des finances et des opérations de l’OCRCVM.

UN GUIDE DESTINÉ AUX CONSEILLERS

En collaboration avec Accenture, l’ORCVM avait publié le mois dernier un rapport qui faisait la synthèse d’une consultation en plusieurs phases menée plus tôt dans l’année. Son but affiché était de « mieux comprendre la façon dont le secteur évolue », afin de « mieux répondre aux besoins des investisseurs » et de voir « comment la réglementation peut mieux favoriser l’innovation ». Ainsi l’Organisme s’engageait, entre autres, à « maintenir le dialogue avec les sociétés de placement à mesure qu’elles s’adaptent aux transformations du secteur et aux innovations technologiques », notamment au moyen de programmes de cybersécurité.

L’Organisme rappelle aussi avoir proposé l’an dernier une règle sur le signalement obligatoire des incidents de cybersécurité, qui vise à « l’aider à déterminer si les sociétés ont besoin d’être conseillées sur la façon d’évaluer et de réduire toute responsabilité potentielle ». Toujours en 2018, il a par ailleurs organisé un événement destiné aux sociétés de petite et de moyenne taille durant lequel les participants ont pris part à des exercices de simulation de cyberincidents (attaque par rançongiciel, fuite de données, etc.). À la fin de cet exercice, des experts en cybersécurité, en réglementation et en droit leur avaient donné des conseils et recommandé des solutions concrètes.

Enfin, l’OCRCVM indique avoir publié un Guide de pratiques exemplaires en matière de cybersécurité spécialement conçu à l’usage des sociétés et des conseillers.