Les sociétés de placement réglementées par l’OCRCVM devront désormais signaler les incidents de cybersécurité

Type d’avis : Communiqués> Généralités

Personne(s)-ressource(s) :

Andrea Zviedris
Chef des relations avec les médias et des affaires publiques
Téléphone :
Courriel :

Les modifications apportées aux règles permettront de mieux protéger les entreprises et leurs clients contre les cybermenaces

Le 14 novembre 2019 (Toronto, Ontario) – L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a publié aujourd’hui les modifications apportées à son Manuel de réglementation qui exigent que toutes les sociétés qu’il réglemente lui signalent les incidents de cybersécurité.

À compter d’aujourd’hui, les sociétés de placement devront ainsi signaler à l’OCRCVM tous les incidents de cybersécurité qu’elles découvrent. Le signalement doit se faire en deux phases :

  • Dans un délai de trois jours, les sociétés doivent fournir une description préliminaire de l’incident et des mesures prises;
  • Dans un délai de 30 jours, les sociétés doivent fournir un rapport d’enquête détaillé, indiquant la cause et l’étendue du problème, ainsi que les mesures prises pour réduire le risque de préjudice pour les investisseurs et la société.

La nouvelle obligation de signalement permettra à l’OCRCVM de mieux aider les sociétés aux prises avec un tel incident et d’alerter les autres sociétés à propos des problèmes connus et des risques potentiels.

« Le signalement obligatoire des incidents de cybersécurité permettra à l’OCRCVM d’analyser l’information reçue pour repérer des tendances ou recueillir des renseignements importants, a déclaré Irene Winel, première vice-présidente à la réglementation des membres et aux stratégies de l’OCRCVM. Cela nous aidera à améliorer le degré de préparation du secteur en matière de cybersécurité et à protéger l’intégrité des marchés financiers canadiens, favorisant ainsi la confiance des investisseurs dans le secteur.»

L’OCRCVM a d’abord publié ces modifications dans le cadre d’un appel à commentaires en avril 2018. Après une période de consultation publique, les modifications ont été approuvées par les Autorités canadiennes en valeurs mobilières.

L’OCRCVM continue de mettre l’accent sur la préparation en matière de cybersécurité qui fait partie de son plan stratégique et de ses priorités annuelles. Entre autres choses, il a mené des exercices de simulation auprès des sociétés, publié des guides sur les pratiques exemplaires en matière de cybersécurité et la planification de la gestion des cyberincidents et mené des sondages obligatoires d’autoévaluation sur la cybersécurité auprès des sociétés qu’il réglemente. En avril 2019, l’OCRCVM a annoncé les résultats de son dernier sondage, selon lesquels les sociétés de placement canadiennes ont pris des mesures concrètes pour mettre en place des programmes de cybersécurité visant à gérer les menaces et à protéger leurs clients et leurs activités.

***

À propos de l’OCRCVM

L’OCRCVM est l’organisme d’autoréglementation pancanadien qui surveille l’ensemble des courtiers en placement et toutes les opérations que ceux-ci effectuent sur les marchés des titres de capitaux propres et des titres de créance au Canada. L’OCRCVM établit la réglementation en matière de commerce des valeurs mobilières, veille à la protection des investisseurs et renforce l’intégrité des marchés tout en favorisant des marchés financiers sains au Canada. Il s’acquitte de ses responsabilités de réglementation en établissant et en faisant appliquer des règles qui régissent la compétence, les activités et la conduite financière de plus de 170 courtiers en placement canadiens et des quelque 29 000 employés inscrits qui y travaillent, dont la plupart sont communément appelés conseillers en placement. L’OCRCVM établit et fait appliquer également des règles d’intégrité du marché qui régissent les opérations effectuées sur les marchés canadiens des titres de capitaux propres et des titres de créance.

-30-