Chaque société régie par l’Organisme canadien de réglementation du commerce des valeurs mobilières se verra remettre une « évaluation individuelle de son état de préparation en matière de cybersécurité », a annoncé hier l’OCRCVM dans un communiqué.

Cette initiative s’inscrit dans le programme de l’Organisme visant « à aider les sociétés à gérer les cyberrisques afin de protéger leurs clients et leurs entreprises », précise-t-il.

D’ici la fin d’octobre, qui est le Mois de la sensibilisation à la cybersécurité, chaque courtier membre recevra ainsi un rapport confidentiel renfermant « une évaluation de ses pratiques en matière de cybersécurité par rapport à celles d’autres sociétés du secteur dont la taille et le modèle d’affaires sont semblables ». Celui-ci présentera aussi « les aspects particuliers qui devraient faire l’objet d’une attention prioritaire » de la part de la compagnie.

DE PLUS EN PLUS DE D’ATTAQUES

« Comme la fréquence et la complexité des cyberattaques vont en augmentant, il est impératif que les sociétés réglementées par l’OCRCVM accordent une grande priorité à la gestion des risques liés à la cybersécurité. C’est pourquoi l’Organisme continuera de travailler avec elles pour s’assurer qu’elles ont une infrastructure et des contrôles adéquats en place en matière de cybersécurité », commente Wendy Rudd, première vice‑présidente à la réglementation des membres et aux initiatives stratégiques à l’OCRCVM.

Les rapports d’évaluation ont été produits à partir d’un sondage-enquête mené auprès de tous les courtiers membres en juin dernier par Deloitte pour le compte de l’Organisme.

Les réponses fournies par les sociétés ont ensuite été évaluées en fonction des critères de cybersécurité élaborés par le National Institute of Standards and Technology et axés sur certains aspects de la gouvernance, la prévention des menaces (degré de sécurité de l’entreprise), leur détection (degré de vigilance de l’entreprise), l’intervention en cas de problème et la reprise des activités à la suite d’un incident.

COMMENT AMÉLIORER LA CYBERSÉCURITÉ?

Selon l’OCRCVM, l’information ainsi recueillie lui permettra « de mieux comprendre la structure de gouvernance de chaque société et les politiques et systèmes mis en place pour gérer les risques en matière de cybersécurité ». Il conseillera ensuite les compagnies « sur la manière d’améliorer leur état de préparation et leurs plans d’intervention en cas de cybermenaces ou d’atteintes à la sécurité ».

Il travaillera aussi avec les Autorités canadiennes en valeurs mobilières, qui ont annoncé récemment leur intention de discuter avec les participants au marché des enjeux et risques en matière de cybersécurité ainsi que de la nécessité d’un meilleur échange d’information.

À noter que l’Organisme a publié deux ouvrages pratiques sur la question en décembre 2015 : le Guide de pratiques exemplaires en matière de cybersécurité et le Guide de planification sur la gestion des cyberincidents.

La rédaction vous recommande :