Signalement des incidents liés à la technologie et à la cybersécurité

Information
Type de publication
Préavis
Sujets
Gouvernance
Régimes
Régime de retraite à prestations déterminées
Régime de retraite à cotisations déterminées
Régime de pension agréé collectif
Année
2023
Table des matières

    Objet

    Le présent préavis décrit les attentes du Bureau du surintendant des institutions financières (BSIF) quant au signalement d’un incident lié à la technologie ou à la cybersécurité qui touche un régime de retraite privé fédéral (RRPF).Note de bas de page 1 Le préavis cadre également avec l’adoption d’une approche coordonnée pour la prise de connaissance par le BSIF de ces incidents, et sa réponse.

    Il incombe aux administrateurs de RRPF de réagir promptement et efficacement aux incidents liés à la technologie et à la cybersécurité. Le BSIF s’attend à ce que les administrateurs l’avisent en déposant le rapport intitulé Signalement d’un incident lié à la technologie ou à la cybersécurité pour les RRPF (le « rapport d’incident »). L’obligation d’aviser le BSIF doit être prise en compte dans le cadre de gestion du risque ou le plan de résilience du RRPF.

    Le signalement des incidents peut aider à repérer les points que les administrateurs ou l’ensemble du secteur pourraient améliorer afin de prévenir de tels incidents de façon proactive ou de renforcer la résilience suite à un incident.

    Portée et définition

    Le BSIF considère qu’un incident lié à la technologie ou à la cybersécurité s’entend d’un incident qui a ou pourrait avoir des conséquences sur les activités d’un RRPF, y compris sur les plans de la confidentialité, de l’intégrité ou de la disponibilité de ses systèmes ou de ses renseignements.

    Critères de signalement

    En cas de doute s’il y a lieu de signaler un incident, les administrateurs doivent consulter leur chargé de surveillance.

    Un incident à signaler peut présenter l’une ou plusieurs des caractéristiques suivantes :

    • il pourrait avoir des conséquences importantes pour d’autres RRPF ou pour le système financier canadien;
    • les participants ou bénéficiaires du régime sont touchés (problèmes de versement de rentes ou de cotisations, compromission de renseignements personnels, etc.);
    • les répercussions sur les activités, l’infrastructure, les données ou les systèmes de l’employeur pourraient entraîner l’interruption temporaire des activités de l’employeur;
    • l’incident entraîne des perturbations graves et prolongées des systèmes ou activités essentiels;
    • les activités de placement des caisses de retraite sont compromises;
    • un fournisseur tiers a signalé un sinistre qui a une incidence sur le régime de retraite;
    • le plan de résilience du régime de retraite a été activé;
    • une atteinte à la réputation de l’administrateur du régime, de l’employeur ou des employeurs participants et des fournisseurs de services se profile;
    • il y a des répercussions sur un tiers ayant des conséquences pour le régime;
    • un incident touchant le régime de retraite a été signalé au conseil d’administration, à la haute direction ou au conseil des fiduciaires;
    • un incident a été signalé à l’une des entités suivantes :
      • le Commissariat à la protection de la vie privée;
      • un autre ministère ou organisme fédéral (comme le Centre canadien pour la cybersécurité);
      • d’autres organismes ou agences de surveillance ou de réglementation;
      • les forces de l’ordre;
      • un avocat interne ou externe;
      • les participants au régime et les bénéficiaires;
    • un incident pour lequel une demande d’indemnisation contre le cyberrisque a été déposée et qui entraîne des pertes pour le régime de retraite.

    Obligation de notification

    Les administrateurs doivent remplir et envoyer un rapport d’incident au BSIF dans les 24 heures suivant la découverte d’un incident ou plus tôt si possible. Le rapport peut être envoyé par courriel à l’adresse pensions@osfi-bsif.gc.ca.

    Lorsque des détails précis ne sont pas connus au moment où l’administrateur remplit le rapport d’incident, il doit le mentionner. Dans de tels cas, l’administrateur doit fournir dans la mesure du possible des estimations et tous les autres détails disponibles à ce moment-là, y compris son estimation du moment où des renseignements supplémentaires seront disponibles. 

    Le BSIF s’attend à ce que l’administrateur continue à lui communiquer tout nouveau détail jusqu’à ce que tous les renseignements pertinents sur l’incident aient été fournis.

    D’ici à ce que l’incident soit résolu, le BSIF s’attend à ce que l’administrateur le tienne toujours au courant de la situation, y compris sur les plans de redressement à court et à long terme et les mesures prises. 

    Une fois l’incident maîtrisé, les activités reprises et le dossier clos, l’administrateur doit rendre compte au BSIF de son examen postérieur à l’incident et des leçons apprises.

    Défaut de signaler

    Le fait de ne pas signaler les incidents conformément au présent préavis peut faire augmenter la cote du régime et donner lieu à des mesures de surveillance additionnelles.

    Exemples d’incidents à signaler

    Le tableau qui suit énumère des exemples de types d’incidents et de scénarios que les administrateurs de régime doivent signaler au BSIF. Cette liste n'est pas exhaustive.

    Exemples d’incidents à signaler
    Nom du scénario Description du scénario Incidence probable
    Cyberattaque La prise de contrôle de comptes par un réseau de zombies informatiques cible les services en ligne, y compris les applications libre-service pour les régimes de retraite, et le volume et la rapidité des tentatives sont élevés, ou les contrôles actuels ne parviennent pas à bloquer les attaques.
    • Compromission des comptes ou des renseignements des participants et des bénéficiaires du régime
    Disponibilité et rétablissement du service Une défaillance technologique touche les serveurs de l’entreprise, ou une panne du portail du régime survient et les options de reprise échouent.
    • Perturbation prolongée du traitement de l’interface de paie
    Compromission liée à un tiers Un tiers important est compromis; le régime client est avisé que le tiers fait enquête.
    • Données sur les pensions
    • Caisse de retraite
    Menace d’extorsion L’employeur reçoit un message d’extorsion le menaçant d’une cyberattaque contre l’ensemble de son infrastructure de TI (par exemple, une attaque par déni de service distribué pour le bitcoin), et la menace est crédible.
    • Interruption des services essentiels en ligne ou fuite de renseignements personnels