Regard annuel sur le risque – Mise à jour semestrielle – Exercice 2024-2025
Le paysage de risque du Canada continue d’évoluer. Dans notre Regard annuel sur le risque publié au printemps, nous avons insisté sur quatre catégories de risques prépondérants :
Risques liés aux prêts hypothécaires et aux prêts garantis par un bien immobilier
Risques de crédit liés aux services financiers aux entreprises (aussi appelés services de gros)
Risques de financement et de liquidité
Risques liés à l’intégrité, à la sécurité et à l’ingérence étrangère
Bien que ces quatre risques persistent, les risques liés à l’intégrité et à la sécurité continuent de s’intensifier et de se multiplier. En particulier, deux risques liés à l’intégrité et à la sécurité ont pris de l’importance depuis la publication du Regard annuel sur le risque : les risques pour la résilience opérationnelle et les risques liés à l’intelligence artificielle (IA). Ces risques sont souvent interconnectés et peuvent se concrétiser simultanément.
Aperçu de l’intensification du paysage des risques liés à l’intégrité et à la sécurité
Le surintendant a énoncé l’approche du Bureau du surintendant des institutions financières (BSIF) à l’égard de son nouveau mandat en matière d’intégrité et de sécurité dans une allocution prononcée le 8 mai 2024. Cette allocution met en lumière le lien étroit entre les risques non financiers et les risques financiers, et l’effet potentiel des risques non financiers, qui peuvent miner les droits des déposants, des souscripteurs et des créanciers des institutions financières.
Le BSIF a mis en œuvre une ligne directrice en matière d’intégrité et de sécurité qui structure et clarifie son approche à l’égard des risques non financiers. Nous conseillons à notre lectorat de tenir compte de nos points de vue sur la résilience opérationnelle et l’intelligence artificielle dans le cadre de l’approche générale du BSIF en matière de résilience opérationnelle et d’intégrité et de sécurité.
Résilience opérationnelle
Les risques liés à l’intégrité et à la sécurité ont été abordés dans le Regard annuel sur le risque du printemps, et nous continuons de mettre l’accent sur ces risques en tant qu’élément clé de la résilience opérationnelle. Nous sommes de plus en plus préoccupés par la résilience opérationnelle des institutions, en particulier en ce qui concerne les risques liés aux tiers, à la cybersécurité, à la technologie, et à l’intégrité et à la sécurité, y compris la fraude et la lutte contre le blanchiment d’argent.
Risques liés à l’intégrité et à la sécurité
Une bonne gouvernance et la surveillance des risques non financiers sont essentielles au sein de nos institutions pour assurer la conformité à la réglementation et préserver l’intégrité et la sécurité. Les approches utilisées par les criminels financiers pour commettre des cybercrimes, du blanchiment d’argent et de la fraude ont gagné en complexité. L’atténuation de ces menaces devrait être une priorité pour les institutions que le BSIF surveille. Les activités liées à la criminalité financière obligent les institutions financières à accroître continuellement leurs efforts pour améliorer les contrôles et la conformité. Les lacunes en matière de gouvernance liées à l’intégrité et à la sécurité au sein des institutions posent des risques opérationnels, financiers, de conformité et d’atteinte à la réputation.
Risque lié aux tiers
Les institutions canadiennes dépendent fortement d’un réseau complexe de tiers et de technologies. La domination et la portée mondiale de certains fournisseurs de services tiers créent un risque de concentration qui pourrait faire en sorte qu’un incident concernant un tiers touche de multiples institutions à la fois, en plus du risque pour les institutions d’être touchées par des incidents survenant à l’extérieur du Canada.
Bien que la concentration et l’exposition mondiale soient les plus notables chez les fournisseurs de services infonuagiques, les entités faisant partie de l’infrastructure des marchés financiers et les systèmes de paiement, d’autres fournisseurs de services tels que les services publics, les agences d’évaluation du crédit, les services d’information sur les marchés et les services de gestion de documents exposent également les institutions financières à un risque de concentration. L’absence de cadres réglementaires solides chez de nombreux tiers fournisseurs pourrait entraîner un manque d’uniformité dans les contrôles de gestion du risque et rendre les institutions vulnérables à des risques tels que les fuites de données et l’interruption des services à la suite de cyberattaques ou de mises en œuvre infructueuses de changements en matière de technologies de l’information.
Cyberrisque
L’accélération des cyberincidents se poursuit dans tous les secteurs et touche les institutions canadiennes et les réseaux de leurs tiers. On continue de signaler un nombre accru de rançongiciels et de fuites de données dans le monde entier. Étant donné la rapidité des innovations technologiques et leur ampleur, ainsi que l’interconnectivité technologique, des vulnérabilités sont sans cesse créées ou mises au jour. Bien que des progrès soient réalisés en matière de technologie, les systèmes hérités et l’absence de cadres de contrôle de sécurité robustes créent également des vulnérabilités. Avec l’évolution rapide de nouvelles technologies telles que l’IA, les innovations pourraient catalyser le risque actuel, ce qui compliquerait davantage la lutte contre les menaces.
Intelligence artificielle
Les progrès rapides réalisés en matière d’IA générative ont entraîné l’adoption accrue des outils d’IA dans le domaine des finances, et cette croissance devrait se poursuivre à un rythme rapide. L’utilisation de l’IA dans les finances pourrait se traduire par des avantages importants, soit :
- une efficience accrue;
- une amélioration du processus décisionnel;
- une meilleure expérience client.
Parallèlement, ces avancées en matière d’IA générative peuvent transformer et amplifier les risques existants, ainsi qu’entraîner de nouveaux risques et défis. Par exemple :
- une augmentation des risques liés à la cybersécurité et aux tiers;
- une intensification des activités de fraude et de blanchiment d’argent;
- le risque que des préjugés et de la discrimination entachent le processus décisionnel;
- des préoccupations relatives à la confidentialité et à la qualité des données;
- une hausse du risque de modélisation;
- un risque d’atteinte à la réputation.
En définitive, l’accessibilité des outils d’IA générative pourrait mettre à l’épreuve la résilience opérationnelle, l’intégrité et la sécurité des institutions. En outre, étant donné l’offre d’outils d’IA générative à source ouverte, il est maintenant plus simple pour les auteurs de menaces d’entreprendre des activités frauduleuses et criminelles, ce qui aggrave les risques liés à l’IA.
Aperçu des mesures que nous prenons
Nous continuons d’évaluer l’état de préparation des institutions à faire face aux risques liés à l’intégrité et à la sécurité, aux tiers, aux technologies et à la cybersécurité. De plus, nous continuerons d’évaluer l’efficacité des plans de continuité des activités et des plans de reprise après sinistre des institutions, et celle des plans d’urgence internes visant les tiers. Ces évaluations nous permettront de mieux comprendre l’efficacité des efforts faits par les institutions financières pour se préparer à faire face aux perturbations, et leur capacité à se remettre rapidement de ces perturbations et de ces menaces externes. Notre collecte de données sur les tiers nous aide à mieux comprendre le risque de concentration systémique et les tendances en matière de risque. Nous continuons d’effectuer des examens thématiques et des activités de suivi de la cyberrésilience et de la gestion du risque lié aux tiers en ce qui a trait aux fonctions essentielles qui sont externalisées.
Nous évaluons actuellement les répercussions de l’adoption de l’IA sur le paysage du risque et de l’interrelation entre ces deux éléments, et nous prévoyons de consolider les lignes directrices existantes pour appuyer l’atténuation des risques liés à l’IA. Dans un premier temps, nous publierons à l’été 2025 notre ligne directrice actualisée sur la gestion du risque de modélisation, qui énoncera avec plus de clarté les attentes concernant les modèles d’IA.
Annexe I
La présente annexe fournit une mise à jour de notre liste de priorités en matière de consignes réglementaires pour les trimestres civils du T4 2024 au T1 2025. Nous travaillons encore à la planification de nos travaux en matière de réglementation pour 2025. Au début de 2025, nous ferons l’annonce des publications réglementaires attendues au cours des deux premiers trimestres de l’année. Le reste des publications réglementaires pour l’année complète sera dévoilé au printemps dans le Regard annuel sur le risque. Comme nous l’avons mentionné dans le Regard annuel sur le risque, les plans pourraient être modifiés en raison de facteurs externes qui nous forceraient à revoir les consignes réglementaires et leur calendrier de publication. Dans tous les cas, nos attentes réglementaires reflètent nos plans stratégiques et nos risques prioritaires, et aident les institutions à se concentrer sur les bons risques.
Consignes sur la gestion du risque visant les institutions financières fédérales (IFF)
| Période (année civile) | Projet | Objet |
|---|---|---|
| T4 de 2024 | Avis relatif à la réglementation sur la gestion du risque lié à la culture | Parachever les attentes en matière de gestion du risque lié à la culture. |
| T1 de 2025 | Consultation sur la gestion de la conformité à la réglementation | Mener une consultation publique sur la gestion de la conformité à la réglementation. |
Consignes sur les fonds propres et la comptabilité visant les IFF
| Période (année civile) | Projet | Objet |
|---|---|---|
| T4 de 2024 | Version finale de la norme internationale d’information financière 17 (IFRS 17) | Remplace le préavis provisoire IFRS 17. |
| T4 de 2024 | Version révisée finale de la ligne directrice NL | Parachever les modifications de la ligne directrice NL. |
| T4 de 2024 | Version révisée finale de la ligne directrice Test de suffisance du capital des sociétés d’assurance hypothécaire (TSAH) | Mettre au point la ligne directrice TSAH révisée pour tenir compte des exigences de capital pour les expositions liées aux immeubles résidentiels à plusieurs unités. |
| T4 de 2024 | Version révisée finale de la ligne directrice Test de suffisance du capital des sociétés d’assurance vie (TSAV) | Mettre au point la ligne directrice TSAV révisée pour tenir compte des nouvelles exigences de capital au titre des garanties de fonds distincts, et d’autres corrections mineures. |
| T1 de 2025 | Version révisée finale de la ligne directrice sur le régime au regard des normes de fonds propres et de liquidité visant les crypto-actifs | Parachever les consignes révisées sur le régime au regard des normes de fonds propres et de liquidité visant les crypto-actifs. |
| T1 de 2025 | Version finale de la ligne directrice sur la communication publique des expositions sur crypto-actifs | Parachever la ligne directrice sur la communication publique des expositions sur crypto-actifs. |
| T1 de 2025 | Version révisée à l’étude de la ligne directrice Normes de fonds propres (NFP) | Mener une consultation publique sur les révisions apportées à la ligne directrice NFP applicable aux institutions de dépôt. |