Autoévaluation en matière de cybersécurité

Type de publication : Note d'information
Date : Le 13 août 2021
Destinataires : Institutions financières fédérales

Le BSIF a bien pris acte de la nouvelle réalité des cyberattaques, qui se font de plus en plus fréquentes, complexes et graves, et de ce fait, entraînent un profil de risque plus élevé pour les entreprises partout dans le monde, notamment les institutions financières fédérales (IFF) au Canada.

Le BSIF a donc publié un questionnaire d'autoévaluation en matière de cybersécurité en octobre 2013 pour aider les institutions à évaluer leur niveau de préparation face aux cyberrisques. Au fil du temps, ce questionnaire a effectivement contribué à ce que les IFF améliorent leur position en matière de cybersécurité, mais la numérisation des services financiers s'est traduite par l'augmentation des points d'entrée et des surfaces d'attaque dans l'environnement technologique des institutions. Ainsi, ces dernières continuent d'être particulièrement exposées aux cyberrisques. Par conséquent, le BSIF a peaufiné son questionnaire d'autoévaluation en matière de cybersécurité pour qu'il reflète mieux le nouveau paysage de ces risques, comme le commandent d'ailleurs ses priorités stratégiques.

Le BSIF continue d'encourager les IFF à remplir l'autoévaluation, ou à utiliser des outils similaires, pour évaluer leur niveau actuel de préparation et pour élaborer et maintenir des pratiques de cybersécurité efficaces. Comme l'indique le plan à court terme du BSIF relatif aux politiques prudentielles, le BSIF publiera de nouvelles consignes sur les saines pratiques de gestion du risque lié aux technologies et du cyberrisque. En sus des consignes en cours d’élaboration, le questionnaire d'autoévaluation sera mis à jour régulièrement pour prendre en compte le contexte courant des cyberrisques.

Pour toute question sur le sujet, s'adresser à Chris Suknundun, directeur général, Division du risque lié aux technologies par courriel à l'adresse TRD@osfi-bsif.gc.ca.

Directeur général,
Chris Suknundun

Explication des niveaux de notation

Les niveaux de notation du cyberrisque mentionnés dans cet outil d'autoévaluation visent à aider l'IFF à évaluer la maturité des contrôles de sécurité individuels (dans la colonne « Contrôle »). Ces énoncés de contrôle portent sur les pratiques exemplaires, le cyberrisque et les processus connexes, la documentation, les attributions, les technologies et d'autres mesures de protection de la cybersécurité, qui sont tous importants pour assurer la rigueur de la cybersécurité et pour concevoir un programme stratégique de cybersécurité de l'IFF.

Par conséquent, le niveau de maturité que l'IFF attribue à chaque contrôle vise à estimer la maturité de ce contrôle en fonction des niveaux différenciés.

Ces cotes sont ensuite applicables pour mettre en évidence les contrôles qui arrivent à maturité efficacement, ainsi que ceux qui nécessiteront plus d'attention (c.-à-d. pour corriger les lacunes). Les niveaux de maturité sont également instructifs, lors des discussions avec le BSIF, et pour la planification future de la cybersécurité au sein de l'IFF.

À cet égard, le BSIF a établi cinq niveaux de maturité de la cybersécurité (1 à 5). Le niveau « 0 » est techniquement un sixième niveau, mais il indique seulement l'absence de progrès à l'égard du contrôle évalué.

Nota : Pour la plupart des contrôles de cybersécurité énumérés, il y aura des interdépendances avec d'autres contrôles (p. ex., l'évaluation du risque, mise en œuvre par le groupe de la cybersécurité, sera liée à la gestion des risques, comme le prévoient les gestionnaires des risques, y compris la haute direction). Donc, dans les énoncés qui suivent, le terme « contrôles » est parfois utilisé, bien que lorsque l'IFF effectue cette évaluation et estime les cotes d'échéance, ces cotes doivent être attribuées à chaque contrôle, un à la fois plutôt que collectivement.

Autoévaluation en matière de cybersécurité – BSIF

Orientation Numéro Catégorie Contrôle Cote Justification des cotes des IFF et notes Références fournies par les IFF
Gouvernance 1 Planification et stratégie L'IFF a publié une stratégie de cyberrisque harmonisée avec les stratégies technologiques et opérationnelles. vide vide vide
2 vide L'IFF dispose d'un cadre de cyberrisque établi (p. ex. un ensemble complet d'éléments, y compris les politiques, les normes, les attributions, les processus de gestion du risque, la taxonomie des risques, la propension à prendre des risques et les menaces et technologies émergentes) à l'appui de la stratégie de cyberrisque et de la gestion continue des menaces, des risques et des incidents. vide vide vide
3 vide L'IFF passe régulièrement en revue la stratégie et le cadre de cyberrisque pour s'assurer de la conformité aux exigences juridiques et réglementaires. vide vide vide
4 vide L'IFF tient compte des exigences de conformité en matière de cyberrisque, des risques cernés, des menaces actuelles et émergentes et des répercussions potentielles des incidents sur les activités et les services, à titre d'intrants de la planification et de la priorisation des projets, programmes et budgets liés au cyberrisque. vide vide vide
5 vide L'IFF a nommé un cadre responsable de la stratégie de cyberrisque, du cadre de cyberrisque et de la sensibilisation et des connaissances en matière de cyberrisque au niveau de la direction. vide vide vide
6 Politiques L'IFF dispose de politiques documentées sur le cyberrisque pour expliquer les attributions, les règles et les contraintes du personnel et des entrepreneurs ainsi que les sanctions possibles en cas de non-conformité. vide vide vide
7 vide Les attributions de chacune des trois lignes de défense et d'autres intervenants sont clairement décrites dans le cadre de cyberrisque. vide vide vide
8 Gestion du risque Des indicateurs de risque et de rendement clés ainsi que des seuils ont été établis pour les principaux cyberrisques et contrôles de l'IFF. Les indicateurs de risque doivent correspondre à la propension à prendre des cyberrisques énoncée dans le cadre du cyberrisque. vide vide vide
9 vide Les cyberrisques de l'organisation et ses programmes ou clients sont régulièrement examinés, acheminés aux échelons supérieurs et expliqués aux cadres appropriés ou à la haute direction, et classés par ordre de priorité aux fins d'atténuation. vide vide vide
10 vide La deuxième ligne de défense effectue régulièrement un examen indépendant des diverses évaluations du cyberrisque et des autres activités de contrôle menées par la première ligne de défense. vide vide vide
11 vide L'IFF veille à ce que la vérification des antécédents du personnel/des entrepreneurs et des fournisseurs ait été effectuée en fonction de la sensibilité et du cyberrisque des actifs de l'IFF qui sont gérés. vide vide vide
12 vide L'IFF a mis en place un processus officiel d'acceptation du risque qui est mesuré et suivi et qui fait l'objet de rapports. vide vide vide
Identification 13 Environnement opérationnel L'IFF a affecté des ressources suffisantes et compétentes aux programmes, systèmes, rôles et services liés au cyberrisque. vide vide vide
14 vide L'IFF a recensé ses actifs technologiques essentiels et a mis en place des contrôles appropriés pour en assurer la confidentialité, l'intégrité et la disponibilité. Les contrôles sont régulièrement examinés et testés. vide vide vide
15 vide L'IFF veille à ce que les contrats d'impartition et de services externes (p. ex. fournisseurs, fournisseurs de services infonuagiques) énoncent les responsabilités des vendeurs et des fournisseurs de services en matière de sécurité des renseignements de l'IFF. vide vide vide
16 Gestion de l'actif L'IFF tient une base de données de gestion de la configuration (BDGC) ou un fichier semblable pour documenter et suivre les configurations des composantes de TI (matériel, logiciels, adresses réseau, systèmes de sécurité, dépendances, etc.). vide vide vide
17 vide Les actifs et l'information de TI de l'IFF sont classés et gérés selon un système de classement. vide vide vide
18 vide L'IFF a établi des procédures pour la disposition ou la destruction des actifs de TI. vide vide vide
19 Évaluation du risque L'IFF évalue les menaces et les risques dès les premières étapes des nouvelles initiatives ou des nouveaux projets ou avant que des changements ne soient apportés aux systèmes ou données existants, afin de cerner et de prioriser les menaces, les risques et les options de correction. vide vide vide
20 vide L'IFF doit évaluer périodiquement les risques encourus par le recours à de tiers fournisseurs; il faut pour cela examiner et évaluer la robustesse, l'actualité et l'exhaustivité des pratiques et des contrôles de cyberrisque du fournisseur. vide vide vide
21 vide L'IFF effectue régulièrement des tests de pénétration du réseau, de l'environnement infonuagique et de tous les systèmes de TI essentiels pour cerner les lacunes en matière de sécurité et affirmer les points forts. vide vide vide
Défense 22 Gestion de l'identité et contrôle de l'accès L'IFF applique un modèle uniforme de contrôle de l'accès (p. ex., contrôle de l'accès fondé sur les fonctions) à tous les systèmes essentiels. vide vide vide
23 vide L'IFF exige que toutes les personnes, tous les systèmes ou tous les services soient identifiés, authentifiés et autorisés avant d'accorder l'accès à ses systèmes, services ou données. vide vide vide
24 vide L'IFF applique systématiquement le principe du « droit d'accès minimal », de sorte que les autorisations et l'accès accordés aux personnes, aux systèmes ou aux services authentifiés sont suffisants pour répondre à ses besoins opérationnels, tout au plus. vide vide vide
25 vide L'IFF veille à ce que les autorisations soient révoquées et que les comptes ou connexions actifs soient résiliés lorsqu'ils ne sont plus nécessaires. vide vide vide
26 vide L'IFF soumet l'accès aux systèmes essentiels et l'accès à distance à son réseau à l'authentification multifactorielle. vide vide vide
27 vide L'IFF chiffre et stocke de façon sécuritaire les justificatifs d'identité et de contrôle d'accès (mots de passe, etc.) séparément des autres données. vide vide vide
28 vide Les justificatifs d'identité des comptes privilégiés sont gérés, surveillés et sécurisés. vide vide vide
29 Sécurité du réseau L'IFF suit un modèle de sécurité positif, ne permettant que le trafic prédéfini et autorisé (adresses IP, protocoles, ports, etc.). vide vide vide
30 vide L'IFF définit des zones de réseau logiques et applique des contrôles pour séparer et limiter ou bloquer le trafic entre ces zones afin de faciliter le suivi, la gestion et la sécurisation des actifs dans ces zones. vide vide vide
31 vide L'IFF place tous les systèmes et services connectés à Internet dans une DMZ ou une zone similaire, isolée et étroitement surveillée, avec une connexion à l'environnement bien sécurisée et limitée. vide vide vide
32 vide L'IFF participe continuellement à la chasse aux menaces (p. ex., en utilisant des techniques manuelles et des outils d'apprentissage automatique) pour repérer et isoler de façon proactive les menaces avancées qui ne peuvent pas être détectées par les outils automatisés. vide vide vide
33 vide L'IFF met en œuvre des contrôles essentiels de sécurité du réseau et de gestion du trafic afin qu'ils soient tolérants aux pannes et qu'ils fassent défaut de façon sécuritaire, de sorte que la sécurité ne soit pas compromise en cas de défaillance, de panne ou d'incident de sécurité. vide vide vide
34 vide L'IFF limite les options d'accès et de connexion à distance au personnel autorisé, y compris les fournisseurs, et sécurise toutes les sessions à distance (chiffrement des sessions, authentification multifactorielle, durée limitée des sessions, etc.). vide vide vide
35 Sécurité des données L'IFF a intégré des contrôles de prévention de la perte de données (PPD) à tous les actifs technologiques pour les données inactives, les données en cours d'utilisation et les données en transit afin de repérer les tentatives d'exfiltration non autorisée de données et de limiter ou d'arrêter automatiquement la perte de données qui s'y rapporte. vide vide vide
36 vide L'IFF évalue toutes les interfaces de données externes (p. ex., les interfaces de programmation d'applications) pour déterminer si les contrôles de sécurité mis en œuvre conviennent à la sensibilité des données. vide vide vide
37 vide L'IFF utilise des outils automatisés pour examiner toutes les données (y compris le code source et les données de configuration) avant de les intégrer à ses systèmes, afin de repérer et de mettre en quarantaine le code exécutable non autorisé (p. ex. les maliciels) et les données potentiellement préjudiciables. vide vide vide
38 vide L'IFF chiffre toutes les données à transporter physiquement à l'interne ou à l'externe (p. ex., sur un support de stockage portatif ou amovible) et limite ce transport aux seules personnes autorisées. vide vide vide
39 vide Les solutions de « travail à domicile » du personnel de l'IFF sont mises en œuvre au moyen de contrôles finaux rigoureux (p. ex., dans les ordinateurs portatifs ou autres appareils mobiles) afin de maintenir une sécurité rigoureuse. vide vide vide
40 vide L'IFF effectue des sauvegardes régulières et automatisées de ses données. vide vide vide
41 Gestion des vulnérabilités L'IFF a publié et mis en œuvre un programme de gestion des vulnérabilités et des correctifs qui présente des règles et des directives pour les attributions, le cycle de vie de gestion des vulnérabilités de l'IFF, la priorisation des vulnérabilités (p. ex. en fonction du risque), les calendriers de correction, l'approbation des exceptions/exemptions, la surveillance et la production de rapports et les outils à utiliser. vide vide vide
42 vide L'IFF a recensé des sources fiables de renseignements sur la vulnérabilité et s'abonne à des services reconnus et fiables de signalement des vulnérabilités. vide vide vide
43 vide L'IFF effectue régulièrement des analyses de vulnérabilité pour repérer de nouvelles vulnérabilités. vide vide vide
44 vide L'IFF établit l'ordre de priorité des vulnérabilités cernées aux fins de correction, en fonction du risque et de l'incidence potentielle qu'elles représentent. vide vide vide
45 vide L'IFF applique un processus de gestion des exceptions et des exemptions selon lequel elle documente et exige les approbations appropriées de la direction pour les retards ou les exceptions à la correction des vulnérabilités (p. ex., au moyen de l'application de correctifs du fournisseur). vide vide vide
46 vide L'IFF vérifie et teste les correctifs de vulnérabilité avant leur déploiement général dans l'environnement opérationnel. vide vide vide
47 vide L'IFF trouve des options pour défaire la correction des vulnérabilités (p. ex., en annulant les correctifs) en cas d'urgence avant le déploiement général. vide vide vide
48 vide L'IFF a établi un calendrier d'application des correctifs en fonction du risque. vide vide vide
49 Gestion du changement et de la configuration L'IFF a créé, documenté et mis en œuvre des configurations normalisées et sécurisées pour tout le matériel et tous les logiciels (p. ex., systèmes d'exploitation, VM, image du bureau). vide vide vide
50 vide L'IFF met à rude épreuve tous les systèmes et réseaux essentiels. vide vide vide
51 vide L'IFF applique les politiques de sécurité en utilisant des outils automatisés pour repérer et bloquer l'utilisation de logiciels et de matériel non autorisés dans tous ses systèmes. vide vide vide
52 vide L'IFF a documenté et mis en œuvre un processus de gestion du changement pour cerner, évaluer, approuver et documenter officiellement les changements de configuration. vide vide vide
Détection 53 Suivi et consignation L'IFF surveille tous les réseaux, sous-réseaux et interfaces pour repérer les événements de sécurité de l'information comme les tentatives de connexion non autorisée, les tendances de trafic inhabituelles ou suspectes ou l'utilisation de ports et de protocoles non autorisés. vide vide vide
54 vide L'IFF a établi des exigences en matière de collecte et de conservation des registres pour tous les actifs de TI. vide vide vide
55 vide L'IFF utilise des outils automatisés (p. ex., SIEM ou Log Analytics) pour recueillir, regrouper et analyser des données sur les événements en temps réel ou presque (p. ex., une activité anormale) et prévenir le personnel selon les cas d'utilisation et les règles établies. vide vide vide
56 vide Les processus de surveillance et de gestion du réseau de l'IFF sont intégrés aux processus d'intervention en cas d'incident, ce qui permet de signaler les incidents prioritaires aux échelons supérieurs, de les communiquer et de les résoudre rapidement et de manière officielle. vide vide vide
57 vide Les registres des IFF et des fournisseurs de services et les documents connexes relatifs aux événements de sécurité sont chiffrés, horodatés et archivés pour consultation ultérieure. Les registres des événements sont conservés dans un endroit sécurisé. vide vide vide
58 Analyse comparative, examens et évaluations L'IFF effectue des évaluations continues et périodiques (des processus de cyberrisque, p. ex.) en consultant cadres de sécurité externes, pratiques exemplaires et vulnérabilités émergentes afin de cerner les lacunes de contrôle dans l'environnement de l'IFF, les possibilités et les recommandations d'amélioration. vide vide vide
59 vide L'IFF effectue des examens continus pour déterminer la conformité à la politique. vide vide vide
60 vide L'IFF procède régulièrement à des examens automatisés de l'infrastructure de TI (p. ex., points finaux) pour vérifier que les contrôles de sécurité sont configurés et fonctionnent comme prévu. vide vide vide
61 vide L'IFF communique les résultats de l'évaluation de sécurité et de l'audit aux membres concernés de la direction et au(x) dirigeant(s) responsable(s) du cadre de cyberrisque. vide vide vide
62 Mise au point de logiciels sécurisés L'IFF considère la sécurité et l'adoption de pratiques exemplaires en matière de sécurité comme une priorité dans le cycle de vie du développement des logiciels. vide vide vide
63 vide L'IFF déploie tous les logiciels, y compris les produits commerciaux, dans un environnement de test distinct et effectue les tests et les analyses de sécurité pertinents avant le déploiement général. vide vide vide
64 vide L'IFF vérifie que le code de sources externes provient d'une source réputée et reconnue (p. ex., en examinant la signature numérique ou la fonction de hachage). vide vide vide
Réponse 65 Gestion des incidents La norme de gestion des incidents de l'IFF est conçue pour réagir rapidement à ces derniers. vide vide vide
66 vide L'IFF a établi une réponse « à l'échelle de l'organisation », ce qui comprend, sans s'y limiter, l'équipe du cyberrisque, l'équipe des TI, le responsable opérationnel, les services juridiques, les responsables de la protection de la vie privée et des communications (affaires publiques) et d'autres intervenants au besoin, et elle a élaboré des manuels et des guides selon les besoins. vide vide vide
67 vide L'IFF teste régulièrement la norme de gestion des incidents. vide vide vide
68 vide L'IFF dispose d'un plan de communication établi qui comprend, sans s'y limiter, les clients, les partenaires commerciaux, les autorités provinciales ou fédérales de réglementation ou de sécurité, les organismes d'application de la loi, le personnel interne et d'autres intervenants, le cas échéant. vide vide vide
69 vide L'IFF effectue une analyse postérieure à l'incident pour déterminer la cause fondamentale, les vulnérabilités et les solutions et pour documenter les leçons apprises aux fins de consultation future. vide vide vide
Rétablissement 70 Mise à l'essai et planification L'IFF met régulièrement à l'essai les sauvegardes de données pour en vérifier l'intégrité et confirmer que les données peuvent être restaurées au besoin. vide vide vide
71 vide L'IFF élabore et met à l'essai des scénarios pour assurer le rétablissement en temps opportun des données, des systèmes ou des services touchés par les cyberincidents. vide vide vide
72 vide L'IFF dispose d'un plan de reprise après sinistre ou de continuité des activités à exécuter en cas d'important incident de cyberrisque. vide vide vide
Apprentissage 73 Amélioration continue L'IFF examine régulièrement son environnement de TI et atténue les risques liés au matériel et aux logiciels de soutien / en fin de vie. vide vide vide
74 vide L'IFF modélise les menaces pour améliorer la cyberrésilience. vide vide vide
75 vide L'IFF effectue régulièrement des exercices de simulation (p. ex. rançongiciel, DDOS) pour valider les plans d'intervention et familiariser les intervenants avec leurs attributions. vide vide vide
76 vide L'IFF a recours à des sources d'information fiables pour comprendre les menaces émergentes, les tendances, les vulnérabilités et les pratiques exemplaires en matière de cyberrisque. vide vide vide
77 vide L'IFF se tient au courant des technologies nouvelles et émergentes et de leur incidence sur le cyberrisque. vide vide vide
78 Éducation en matière de sécurité L'IFF dispose d'un plan d'éducation et de sensibilisation au cyberrisque pour ses employés, ses clients et d'autres intervenants. vide vide vide
79 vide L'IFF offre la formation nécessaire et appropriée au personnel affecté au cyberrisque afin de maintenir ses connaissances et compétences à jour à l'appui de ses attributions. vide vide vide
80 vide L'IFF offre à tous ses employés une formation continue de sensibilisation à la sécurité afin qu'ils soient conscients de leurs attributions en matière de cyberrisque, de les aider à cerner les menaces et d'expliquer les pratiques exemplaires en matière de cyberrisque. vide vide vide
81 vide Les cadres supérieurs et la haute direction de l'IFF sont régulièrement informés des tendances du cyberrisque, des risques cernés, des incidents, des initiatives prévues en matière de cyberrisque et des répercussions potentielles sur l'organisation. vide vide vide
Fournisseurs tiers de technologie 82 Gouvernance et gestion L'IFF a cerné et évalué le cyberrisque découlant de ses fournisseurs tierse. L'évaluation du risque est périodiquement actualisée et permet de déterminer la fréquence et l'intensité des activités de gestion du risque (p. ex., diligence raisonnable, obligations contractuelles, surveillance, production de rapports et assurance). vide vide vide
83 vide L'IFF veille à ce que les contrôles du cyberrisque mis en œuvre par des tiers fournisseurs soient adaptés à la sensibilité de ses données et soient aussi robustes et complets que ceux qu'elle met en œuvre sur place. vide vide vide
84 vide L'IFF a élaboré des stratégies de sortie pour les tiers fournisseurs essentiels qui décrivent les scénarios possibles de cyberrisque, les déclencheurs et les solutions de rechange élaborées et évaluées pour en déterminer la viabilité. vide vide vide
85 vide L'IFF obtient périodiquement l'assurance indépendante des contrôles de tiers au moyen de diverses méthodes comme les attestations d'audit, les examens d'audit interne, les audits groupés, etc. vide vide vide
86 vide L'IFF veille à ce que le tiers fournisseur ait établi des guides d'intervention en cas d'incident, y compris des procédures indiquant quand et comment l'IFF sera informée de toute incidence sur ses systèmes, services ou données. vide vide vide
87 vide L'IFF vérifie que les tiers fournisseurs suppriment complètement toutes les données de l'IFF, y compris les copies de sauvegarde, lorsqu'elles ne sont plus requises. vide vide vide
88 Fournisseurs de services infonuagiques L'IFF dispose d'une stratégie documentée de retrait de l'infonuagique qui définit les processus et les attributions liés au cyberrisque à mettre en œuvre si elle met fin aux services d'un fournisseur de services infonuagiques (FSI) (p. ex., pour passer à un autre FSI). vide vide vide
89 vide L'IFF veille à ce que toutes les attributions en matière de cyberrisque (p. ex., pour la mise en œuvre et la gestion des contrôles) soient clairement documentées et acceptées par toutes les parties lors de la mise en œuvre des services infonuagiques (IaaS, PaaS et SaaS). vide vide vide
90 vide Des processus centralisés de consignation et de suivi sont mis en œuvre pour tous les actifs infonuagiques et permettent d'effectuer des analyses consolidées et de produire des rapports sur la posture de sécurité dans toutes les plateformes. vide vide vide