Octobre : Mois de la sensibilisation à la cybersécurité

Le 3 octobre 2016 (Toronto, Ontario) –  L’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a annoncé aujourd’hui qu’il remettra à chaque société qu’il réglemente une évaluation individuelle de son état de préparation en matière de cybersécurité. Ce rapport s’inscrit dans le programme de l’OCRCVM visant à aider les sociétés à gérer les cyberrisques afin de protéger leurs clients et leurs entreprises.

Durant le Mois de la sensibilisation à la cybersécurité, en octobre, chaque courtier membre de l’OCRCVM recevra un rapport confidentiel renfermant une évaluation de ses pratiques en matière de cybersécurité par rapport à celles d’autres sociétés du secteur dont la taille et le modèle d’affaires sont semblables. Le rapport d’évaluation présentera aussi les aspects particuliers qui devraient faire l’objet d’une attention prioritaire de la part de la société.

« Comme la fréquence et la complexité des cyberattaques vont en augmentant, il est impératif que les sociétés réglementées par l’OCRCVM accordent une grande priorité à la gestion des risques liés à la cybersécurité, soutient Wendy Rudd, première vice‑présidente à la réglementation des membres et aux initiatives stratégiques à l’OCRCVM. L’OCRCVM continuera de travailler avec les sociétés pour s’assurer qu’elles ont une infrastructure et des contrôles adéquats en place en matière de cybersécurité. »

Ces rapports d’évaluation ont été produits à la suite d’un sondage exhaustif que le cabinet Deloitte a créé au nom de l’OCRCVM et qui a été mené auprès de tous les courtiers membres de l’OCRCVM en juin 2016.

Les réponses fournies par les sociétés ont été évaluées au regard d’un cadre de cybersécurité mis au point par le National Institute of Standards and Technology et axé sur certains aspects de la gouvernance, la prévention des menaces (degré de sécurité de l’entreprise), la détection des menaces (degré de vigilance de l’entreprise), l’intervention en cas de menace et la reprise des activités à la suite d’un incident (résilience de l’entreprise).

L’information recueillie à l’aide de ce sondage permet à l’OCRCVM de mieux comprendre la structure de gouvernance de chaque société et les politiques et systèmes mis en place pour gérer les risques en matière de cybersécurité.

L’OCRCVM se propose de collaborer ensuite avec les sociétés et à les conseiller sur la manière d’améliorer leur état de préparation et leurs plans d’intervention en cas de cybermenaces ou d’atteintes à la sécurité.

L’OCRCVM travaillera aussi de près avec les Autorités canadiennes en valeurs mobilières, qui ont annoncé récemment leur intention de discuter avec les participants du marché des enjeux et des risques en matière de cybersécurité ainsi que la nécessité d’une coordination et d’un échange d’information.

Dans le cadre de son programme continu visant à aider les courtiers à mieux gérer les cyberrisques, l’OCRCVM a mené un autre sondage dans le passé et procédé à un exercice de simulation avec un échantillon de sociétés, en plus de consulter les membres du secteur et des experts en sécurité.

Ces travaux ont mené à la publication de deux ressources précieuses en décembre 2015 –  le Guide de pratiques exemplaires en matière de cybersécurité et le guide de planification complémentaire sur la Gestion des cyberincidents– lesquels ont pour but d’aider les sociétés à protéger leurs clients et leurs entreprises contre les menaces de cyberattaques.

***

L’OCRCVM est l’organisme d’autoréglementation national qui surveille l’ensemble des courtiers en placement et l’ensemble des opérations que ceux-ci effectuent sur les marchés de titres de capitaux propres et les marchés de titres de créance au Canada. L’OCRCVM établit des normes élevées en matière de réglementation et de commerce des valeurs mobilières, assure la protection des investisseurs et renforce l’intégrité des marchés tout en favorisant des marchés financiers sains au Canada. L’OCRCVM s’acquitte de ses responsabilités de réglementation en établissant des règles qui régissent la compétence, les activités et la conduite financière de ses sociétés membres et de leurs employés inscrits, et en veillant à leur application. Il établit des règles d’intégrité du marché qui régissent les opérations effectuées sur les marchés des titres de capitaux propres canadiens et veille à leur application.

-30-