Cybercriminalité : les attentes de l’AMF envers l’industrie

Dans le dernier numéro d’Info-Conformité, l’Autorité des marchés financiers (AMF) dit s’attendre à ce que les intervenants du secteur mettent en place les mesures d’atténuation du risque qui s’imposent en matière de cybersécurité.

L’information de ce numéro s’adresse à tous les inscrits de l’Autorité sous la Loi sur la distribution de produits et services financiers ainsi qu’aux personnes désignées responsables et aux chefs de la conformité des sociétés inscrites comme courtier ou gestionnaire de fonds d’investissement en vertu de la Loi sur les valeurs mobilières.

L’AMF y souligne notamment que la sécurité informatique constitue « un enjeu incontournable » pour toutes les entreprises qui détiennent des renseignements personnels et représentent donc, à ce titre, « une cible de choix pour les pirates informatiques et les organisations criminelles ».

ATTÉNUER LES VULNÉRABILITÉS DES ENTREPRISES

Afin de faire face à cette menace, le gendarme boursier québécois a « des attentes envers les différents intervenants du secteur des services financiers », qui devront « identifier les vulnérabilités associées à leurs activités professionnelles en ce qui a trait à la sécurité informatique et à la protection des renseignements personnels » de leurs clients. Plus précisément, l’Autorité leur demande de « mettre en place les mesures d’atténuation du risque qui s’imposent ».

Concrètement, au moment d’évaluer leurs risques, les inscrits devront axer leur réflexion sur les aspects suivants :

• Gouvernance Mise en place de politiques et procédures, établissement d’une ligne de conduite, adoption d’une saine gestion des risques, etc.

• Gestion des ressources humaines Conscientisation et formation du personnel, instauration d’un code de conduite, etc.

• Sécurité informatique Réalisation d’un inventaire du matériel utilisé pour recueillir et conserver les renseignements personnels, gestion des accès aux matériels et données, mesures de protection du matériel et des données, etc.

• Plan de continuité des activités Prévision d’un plan d’intervention advenant une atteinte à la sécurité informatique (protection des renseignements personnels) et information/formation donnée au personnel à propos de la marche à suivre en cas de cyberattaque, etc.

• Relations avec les tiers Obtention d’ententes écrites avec les fournisseurs de services, évaluation du risque lié à l’impartition, vérification de la viabilité, de la réputation et de la fiabilité du fournisseur, validation de la pérennité des données dans le cas d’un changement de fournisseur, etc.

PROCHAINE PUBLICATION D’UN « GUIDE DE RÉFÉRENCE »

L’Autorité affirme qu’elle souhaite « renforcer son rôle de régulateur de proximité afin de mieux accompagner les cabinets, les sociétés autonomes et les représentants autonomes inscrits en vertu de la Loi sur la distribution de produits et services financiers », entre autres sur le plan de la conformité. Elle estime que cet accompagnement devrait se traduire concrètement par « une amélioration de sa connaissance de l’environnement et des besoins de l’industrie ».

Pour atteindre cet objectif, elle a commencé depuis quelques semaines à recueillir davantage d’informations sur les pratiques des cabinets, des sociétés autonomes et des représentants autonomes concernant leurs relations avec les différents intervenants de l’industrie. De plus, elle publiera dès le début de l’année prochaine un « guide de référence pour soutenir l’industrie et mieux expliquer le cadre réglementaire applicable ».

Enfin, l’AMF précise qu’elle procède actuellement à des inspections ciblées par l’entremise d’un questionnaire d’autoévaluation distribué à des entités inscrites afin, notamment, de les sensibiliser au risque de sécurité informatique et d’évaluer le niveau de convenance des pratiques liées aux différents éléments détaillés précédemment.

Les entités et les personnes non visées par cette initiative et qui désirent quand même remplir le questionnaire sont invitées à communiquer avec la Direction principale de l’inspection à l’adresse suivante pour en faire la demande : DPI@lautorite.qc.ca

La rédaction vous recommande :

• 5 questions sur l’open banking
• Qu’est-ce qui fait peur aux conseillers?
• Êtes-vous préparés contre les cyberrisques?