Personne(s)-ressource(s) :
Tel que nous le soulignions dans le Rapport annuel consolidé sur la conformité de l’OCRCVM pour 2014-2015, la cybersécurité demeure une préoccupation essentielle des sociétés de placement et de l’OCRCVM.
L’un des corollaires de l’avancement technologique est que les cyberattaques sont aussi de plus en plus évoluées, ce qui amplifie les dommages potentiels. Pour les organismes de réglementation comme pour les participants des marchés financiers, l’amélioration des efficiences et l’augmentation des capacités rendues possibles par l’infrastructure informatique d’aujourd’hui entraînent une hausse concomitante des risques de cyberattaques.
Compte tenu de l’automatisation et de l’interconnexion grandissantes des fonctions opérationnelles et des systèmes d’information et d’exploitation, la gestion des défis associés à la cybersécurité doit maintenant faire partie du programme global de gestion des risques au sein de chaque entreprise et s’appliquer à tous les volets de l’entreprise.
Nous reconnaissons qu’une gestion proactive des risques liés à la cybersécurité est essentielle à la stabilité des sociétés réglementées par l’OCRCVM, à l’intégrité des marchés financiers et à la protection des investisseurs.
En février et mars 2015, nous avons mené un sondage auprès de nos sociétés membres pour recueillir de l’information sur leur degré de préparation en matière de cybersécurité.
En mars 2015, nous avons procédé à un exercice de simulation de cybersécurité avec un échantillon de sociétés membres afin de vérifier leur degré de préparation face aux cyberattaques. L’exercice comportait notamment une coordination entre les sociétés et avec les autorités de réglementation afin d’assurer un partage de l’information et d’atténuer l’impact d’une attaque, et comportait aussi l’établissement d’une marche à suivre pour informer les clients et les autres parties intéressées durant une urgence de ce genre.
L’OCRCVM utilise maintenant les résultats du sondage et de l’exercice de simulation pour formuler des pratiques exemplaires qui pourront être appliquées par l’ensemble des sociétés qu’il réglemente, quels que soient leur taille et leur modèle opérationnel, et également pour établir une « stratégie d’intervention en cas d’incident ».
Ces documents seront élaborés à partir des commentaires reçus des sociétés (y compris ceux du groupe de travail sur la cybersécurité mis sur pied par l’Association canadienne du commerce des valeurs mobilières) et d’autres organismes de réglementation du secteur des services financiers du Canada et d’ailleurs, et seront publiés à l’automne 2015.
-30-