Signalement obligatoire des incidents en cybersécurité

Les sociétés de placement réglementées devront désormais signaler tout incident de cybersécurité dont elles seraient victimes, annonce l’Organisme canadien de réglementation du commerce des valeurs mobilières.

Dans un communiqué publié jeudi, l’OCRCVM indique que les nouvelles règles en vigueur dans l’industrie à ce sujet ont été intégrées à son Manuel de réglementation. L’objectif affiché par l’organisme est de « mieux protéger les entreprises et leurs clients contre les cybermenaces ».

Depuis le 14 novembre, les sociétés de placement doivent ainsi l’avertir de tous les incidents de ce type qu’elles découvriraient. Concrètement, le signalement devra se faire en deux phases : dans un délai de trois jours, elles devront fournir une description préliminaire des faits et des mesures prises; elles auront ensuite 30 jours pour envoyer un rapport détaillé, indiquant la cause et l’étendue du problème, ainsi que les correctifs adoptés pour réduire le risque de préjudice pour les investisseurs et la compagnie.

« MIEUX PROTÉGER L’INTÉGRITÉ DES MARCHÉS »

Selon l’OCRCVM, cette disposition lui permettra « de mieux aider les sociétés aux prises avec un tel incident et d’alerter les autres sociétés à propos des problèmes connus et des risques potentiels encourus ».

« Le signalement obligatoire des incidents de cybersécurité nous permettra d’analyser l’information reçue pour repérer des tendances ou recueillir des renseignements importants. Cela nous aidera aussi à améliorer le degré de préparation du secteur en matière de cybersécurité et à mieux protéger l’intégrité des marchés financiers canadiens, favorisant ainsi la confiance des investisseurs dans le secteur », applaudit Irene Winel, première vice-présidente à la réglementation des membres et aux stratégies de l’Organisme.

Dans un premier temps, l’OCRCVM avait publié ces modifications dans le cadre d’un appel à commentaires lancé en avril. Après une période de consultation publique, celles-ci avaient été approuvées par les Autorités canadiennes en valeurs mobilières. Assurant qu’il « continue de mettre l’accent sur la préparation en matière de cybersécurité », l’organisme rappelle avoir mené divers exercices de simulation auprès des sociétés, publié des guides sur les pratiques exemplaires en matière de cybersécurité et la planification de la gestion des cyberincidents, en plus d’avoir réalisé des sondages obligatoires d’autoévaluation sur la cybersécurité auprès des entités qu’il encadre.