Les ACVM font de la cybersécurité une « priorité »

Les cyberincidents peuvent avoir de lourdes conséquences sur d’autres organisations que celles qui sont directement concernées, surtout si les systèmes de base sont touchés, mettent en garde les Autorités canadiennes en valeurs mobilières.

Dans un avis publié la semaine dernière, les ACVM tirent les conclusions d’une table ronde qui s’est tenue au mois de février sur le thème de la cybersécurité et des possibilités d’améliorer la collaboration, la communication et la coordination en cas de cyberincident de grande envergure.

Cette réunion, à laquelle participaient divers intervenants du marché canadien des valeurs mobilières, notamment des chambres de compensation, des personnes inscrites, des émetteurs assujettis, des organismes de réglementation et des experts en cybersécurité, a abouti à plusieurs conclusions.

INTERDÉPENDANCE DES MARCHÉS

Deux scénarios de cyberincident potentiel ont été passés au crible. Le but? D’une part, « analyser la manière dont les participants réagiraient, individuellement et en tant que groupe, en cas d’incident de grande envergure »; d’autre part, « mieux comprendre les rôles joués par les entités et les organismes de réglementation pour ce qui est de la réaction à un incident, de la coordination et du partage d’information ».

Dans le premier scénario, des chambres de compensation avaient ainsi été victimes d’une attaque informatique à la suite de laquelle leurs systèmes de gestion du risque avaient généré des exigences de marge inexactes pour leurs membres. Dans le second, certains ordres transmis à un marché avaient plutôt été altérés, de sorte que des courtiers avaient obtenu de l’information erronée sur l’exécution des opérations.

Résultat : « les discussions ont mis en évidence l’interdépendance des marchés des valeurs mobilières dans l’écosystème canadien et il y a eu consensus sur l’importance que revêtent la coopération et le partage d’information pour réagir à un cyberincident et réduire le risque de contagion », commente Louis Morisset, président des ACVM et président-directeur général de l’Autorité des marchés financiers.

APPRENDRE À MIEUX RÉAGIR

De manière générale, les participants à la table ronde ont débattu des questions suivantes :

√ comment réagissent les victimes d’un cyberincident? (gouvernance, évaluation des dommages, personnel participant à la prise de décision, flux d’information);

√ que font les entités en aval et en amont de la société touchée? (par exemple quant aux mesures à prendre pour réduire le plus possible les répercussions sur leur organisation);

√ qui devrait participer aux discussions et à la prise de décision pour coordonner la réaction à un incident touchant l’ensemble du marché?

√ quelle information faut-il communiquer à l’interne et à l’externe?

√ quels sont les facteurs permettant améliorer la coordination, la communication et la collaboration entre les intervenants, et quelles sont les difficultés que les organisations peuvent avoir à surmonter pour y parvenir?

En particulier, les participants se sont penchés sur les éléments d’un plan d’intervention en cas d’incident (PII) pour les compagnies, y compris celles qui peuvent être indirectement touchées. Ils ont indiqué que ces plans sont généralement très détaillés et exhaustifs en ce qui a trait aux procédures internes en cas d’incident, mais qu’ils devraient également traiter de la coordination et du partage d’information avec les autres intervenants, surtout en cas de cyberincident susceptible d’impliquer l’ensemble du marché.

FAIRE RÉGULIÈREMENT DES EXERCICES

Enfin, ils ont également discuté de la nécessité de tester et d’actualiser les PII, y compris les protocoles de coordination et de communication, soulignant qu’il est essentiel de faire régulièrement des exercices et des évaluations pour qu’ils soient à jour et efficaces.

Les ACVM rappellent qu’elles ont fait de la cybersécurité une priorité dans leur plan d’affaires 2016-2019. « Leurs membres continueront de collaborer avec les participants au marché, les autres organismes de réglementation et les intervenants pour renforcer la préparation à d’éventuels cyberincidents, et élaboreront un processus de coordination plus structuré que ceux qui existent déjà », concluent-elles.