Le BSIF publie un nouveau cadre visant à renforcer la résilience des institutions financières face aux cyberattaques
Communiqué de presse - Ottawa -
Le Bureau du surintendant des institutions financières (BSIF) publie aujourd’hui le Cadre d’exécution du test de la cyberrésilience fondé sur le renseignement (TCFR). Ce cadre a pour objet d’aider les institutions financières à cerner des lacunes qui les exposeraient à des cyberattaques complexes et détaille la méthode employée. Il servira de guide de mise en œuvre aux institutions financières fédérales (IFF).
Comme l’explique le Regard annuel du BSIF sur le risque, les cyberattaques se multiplient et se complexifient au rythme de l’évolution technologique et du recours croissant aux fournisseurs tiers de technologie. Déjà adoptée par d’autres autorités de réglementation à l’échelle internationale, l’approche du TCFR sert à renforcer la technorésilience et la cyberrésilience des institutions financières en cas d’attaques complexes, qui peuvent perturber des fonctions opérationnelles essentielles, qu’il s’agisse d’une institution en particulier ou du secteur financier dans son ensemble.
Aux termes du cadre du TCFR, le BSIF exerce une supervision et fournit des consignes tout au long de l’évaluation, mais la responsabilité de gérer le test incombe aux IFF. Conformément à la ligne directrice B-13, Gestion du risque lié aux technologies et du cyberrisque, les IFF doivent avoir en place des mesures qui favorisent la résilience face aux cyberévénements et aux perturbations technologiques. Le cadre du TCFR constitue un outil de surveillance qui s’arrime à la ligne directrice B-13 et qui permet aux IFF de cerner et de combler d’emblée des lacunes en matière de cyberrésilience.
À l’heure actuelle, le cadre s’applique à toutes les banques d’importance systémique intérieure (BISi) et aux groupes d’assurance actifs à l’échelle internationale (GAAEI). Le BSIF recommande que ces institutions mènent le test de la cyberrésilience fondé sur le renseignement au moins une fois par cycle de surveillance triennal à compter de 2023.
S’il est bien appliqué, le Cadre d’exécution du test de la cyberrésilience fondé sur le renseignement renforcera la capacité des institutions financières fédérales à répondre à des cyberattaques complexes. De fait, la gestion efficace du cyberrisque est un volet indispensable de la cyberrésilience d’une IFF. Je tiens à remercier les institutions qui ont participé à nos projets pilotes ces 18 derniers mois : elles ont contribué grandement à l’élaboration du cadre.
– Peter Routledge, surintendant
Faits en bref
- Le Cadre d’exécution du test de la cyberrésilience fondé sur le renseignement diffère des tests d’intrusion conventionnels parce qu’il est fondé sur le renseignement (l’essai est plus réaliste et détaillé), qu’il a une portée plus vaste (l’accent est mis sur les fonctions opérationnelles essentielles et les scénarios de cybermenace réalistes connexes), et qu’il est encadré par le BSIF, ce qui favorise l’uniformisation et la coordination des approches entre les IFF.
- Le cadre est le fruit d’un travail de collaboration et de consultation du secteur qui a duré 18 mois, notamment un projet pilote auquel ont participé des banques et des sociétés d’assurance.