Le BSIF publie la version finale de la ligne directrice B-13 - Gestion du risque lié aux technologies et du cyberrisque - Lettre (2022)

Informations
Type de publication
Lettre
Catégorie
Limites et restrictions prudentielles
Date
Secteur
Banques,
Succursales de banques étrangères,
Sociétés de fiducie et de prêts,
Sociétés d'assurance vie et de secours mutuels,
Sociétés des assurances multirisques
Table des matières

Le Bureau du surintendant des institutions financières (BSIF) publie aujourd’hui la version finale de la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque, dans laquelle il énonce ses attentes quant à la gestion de ce type de risques par les institutions financières fédérales (IFF). Cette ligne directrice doit être lue et mise en œuvre dans une optique fondée sur le risque qui permet aux IFF d’être concurrentielles et de tirer pleinement parti de l’innovation numérique tout en assurant une saine gestion du risque lié aux technologies.

Cette publication intervient dans un contexte où les tensions géopolitiques et l’interconnexion entre le système financier mondial et les infrastructures technologiques ont accentué la menace que représentent les cyberattaques. Cet environnement de risque a précipité la nécessité d’améliorer les consignes réglementaires à l’intention des IFF sur le plan de la gestion du risque lié aux technologies et du cyberrisque.

Il convient de préciser que la ligne directrice B-13 n’entrera pas en vigueur avant le 1er janvier 2024 pour donner suffisamment de temps aux IFF de procéder à une autoévaluation et de faire ce qu’il faut pour se conformer à cette nouvelle ligne directrice avant d’être tenues de respecter les attentes qui y sont énoncées. Comme l’a précisé le BSIF dans la lettre Réponses du BSIF aux commentaires reçus dans le cadre de la consultation sur la version à l’étude de la ligne directrice B-13, la version finale est une nouvelle mouture moins normative, simplifiée, et qui comprend des définitions et des attentes plus claires.

Soulignons enfin que plusieurs consignes et outils existants du BSIF viendront s’ajouter à la ligne directrice B-13. On peut notamment citer la ligne directrice Gouvernance d’entreprise, la ligne directrice E‑21, Gestion du risque opérationnel, la version révisée de la ligne directrice B‑10, Gestion du risque lié aux tiers, le préavis Signalement des incidents liés à la technologie et à la cybersécurité et l’outil d’autoévaluation en matière de cybersécurité.