Outil d’autoévaluation de la cybersécurité de l’OCRCVM destiné aux sociétés membres

22-0115
Type d’avis : Avis relatif à la formation
Destinataires à l’interne :
Cybersécurité et technologie
Institutions
Audit interne
Affaires juridiques et conformité
Opérations
Comptabilité réglementaire
Détail
Haute direction
Formation

Personne(s)-ressource(s) :

Cybersécurité et technologie
Courriel :

Aperçu

L’OCRCVM a mis au point un outil d’autoévaluation de la cybersécurité (outil d’autoévaluation) destiné principalement à ses petites et moyennes sociétés membres. L’outil d’autoévaluation vise à aider les sociétés membres à repérer les points forts et les points faibles de leurs pratiques en matière de sécurité de l’information. La portée de l’outil englobe la plupart des pratiques des sociétés membres qui ont une incidence sur la cybersécurité.

Contexte

Les autoévaluations régulières1 sont un élément essentiel du programme de cybersécurité des sociétés. Elles aident ces dernières à repérer les lacunes et les vulnérabilités dans leurs contrôles de cybersécurité, ainsi qu’à renforcer et à améliorer leur situation et leur niveau de préparation en matière de cybersécurité.

L’OCRCVM a exigé que toutes ses sociétés membres mènent des autoévaluations obligatoires en 2016 et de nouveau en 2018. Les résultats ont fourni à l’OCRCVM et aux sociétés de précieux renseignements sur la situation et le niveau de préparation des sociétés et du secteur en matière de cybersécurité. Ils ont aidé à orienter les interventions et les initiatives de formation futures de l’OCRCVM, et ont permis aux sociétés de repérer les points à améliorer.

À la suite du succès des autoévaluations antérieures, et compte tenu de l’importance des autoévaluations régulières, l’OCRCVM a mis au point un outil d’autoévaluation gratuit pour encourager ses sociétés membres à évaluer continuellement leur situation en matière de cybersécurité.

Nous avons retenu les services de Deloitte, qui a élaboré et facilité les autoévaluations obligatoires en 2016 et en 2018, pour mettre au point le nouvel outil d’autoévaluation. L’outil d’autoévaluation a été mis à l’essai par un groupe de travail composé d’experts en technologies de l’information et en sécurité provenant de petites et moyennes sociétés membres de l’OCRCVM. Ce groupe a ainsi fourni de la rétroaction à l’OCRCVM et à Deloitte pour les aider à rendre l’outil adéquat, convivial, accessible et utile pour les sociétés membres.

Sur quel cadre l’outil d’autoévaluation est-il fondé?

L’outil d’autoévaluation est fondé sur la version 1.1 du cadre de cybersécurité du NIST ainsi que sur la version 1.0 et sur certaines parties de la version 2.0 de la certification du modèle de maturité de la cybersécurité (CMMC)2 . Le questionnaire facile à utiliser permet de repérer les capacités qui devraient être mises en œuvre dans divers domaines et aide les sociétés à déterminer les points à améliorer.

Quelles sont les attentes de l’OCRCVM à l’égard de l’utilisation de l’outil d’autoévaluation?

L’utilisation de l’outil d’autoévaluation est facultative. Cependant, compte tenu de la menace croissante des cyberattaques et du risque de cyberinfractions, nous encourageons vivement toutes les sociétés à effectuer une autoévaluation de la cybersécurité aussi souvent que nécessaire, et au moins tous les deux ans afin d’évaluer leur situation et leur niveau de préparation en matière de cybersécurité et de cerner toute lacune importante.

Comment accéder à l’outil d’autoévaluation?

L’outil d’autoévaluation est offert aux sociétés membres de l’OCRCVM. La personne désignée responsable, le chef des finances ou le chef de la conformité d’une société peut demander une copie de l’outil d’autoévaluation auprès de l’OCRCVM au moyen de ce formulaire.

Comment utiliser l’outil d’autoévaluation?

Procédez comme suit :

  1. Répondez au questionnaire de classification. Ce dernier permet de déterminer à quel niveau3 votre société correspond actuellement et, par conséquent, à quelles questions vous devez répondre.
  2. Remplissez le Profil des risques de menace afin de repérer les points préoccupants selon les menaces potentielles visant votre organisation.
  3. Répondez au questionnaire CMMC en indiquant les pratiques et les contrôles que vous utilisez pour gérer le risque lié à la sécurité de l’information.

Quels rapports ou résultats l’outil d’autoévaluation fournit-il?

Les résultats de l’autoévaluation fournissent une indication du risque relatif associé à l’ensemble des mesures de cybersécurité protégeant la société membre de l’OCRCVM faisant l’objet de l’évaluation.

Ces résultats sont résumés dans trois rapports principaux :

  • Risque par secteur dans chaque domaine
  • Résultats de l’évaluation par domaine
  • Résultats de l’évaluation par capacité

Comment puis-je obtenir plus d’information sur l’utilisation de l’outil d’autoévaluation?

Pour obtenir plus d’information sur l’outil d’autoévaluation, vous pouvez faire ce qui suit :

  1. visionner une courte vidéo instructive qui explique comment utiliser l’outil;
  2. envoyer vos questions sur l’outil d’autoévaluation à [email protected];
  3. consulter la page Cybersécurité et technologie de notre site Web pour obtenir des guides et des ressources supplémentaires qui aident les sociétés membres de l’OCRCVM à se protéger et à protéger leurs clients contre les cybermenaces et les cyberattaques.
  • 1Consultez le guide Guide for Conducting Risk Assessments (en anglais seulement) du NIST.
  • 2 L’OCRCVM examinera l’outil et le mettra à jour tous les deux ans afin de tenir compte de tout changement important apporté au cadre du NIST ou au CMMC.
  • 3Selon le cadre de cybersécurité du NIST, [traduction] « les niveaux décrivent la mesure dans laquelle les pratiques de gestion des cyberrisques d’une organisation présentent les caractéristiques définies dans le cadre. » Il est important de préciser que les niveaux ne représentent pas le degré de préparation des organisations. Ils visent plutôt à aider les organisations à prendre des décisions quant à la façon de gérer les cyberrisques et aux aspects qu’elles devraient traiter en priorité et auxquels elles pourraient affecter des ressources supplémentaires. La progression vers les niveaux supérieurs est recommandée dans les cas où une analyse coûts-avantages indique qu’il est possible de réduire les cyberrisques de manière efficace. Veuillez consulter le Guide de cybergouvernance de l’OCRCVM pour obtenir des renseignements supplémentaires sur le cadre opérationnel.