L'impact des récents changements apportés à l'OCRCVM sur les investisseurs Canadiens | Vumetric

L’impact des récents changements apportés à l’OCRCVM sur les investisseurs Canadiens

IIROC Cybersecurity Incident Reporting
Share on linkedin
Share on facebook
Share on twitter

Table des Matières

Avec l’augmentation de la cybercriminalité au Canada, il n’est pas surprenant que l’Organisme Canadien de réglementation du commerce des valeurs mobilières (OCRCVM) ait renforcé les éxigences du secteur financier en matière de cybercriminalité.

L’inquiétude suscitée par la menace de la cybercriminalité a incité les institutions financières canadiennes à demander une réglementation plus stricte pour rester au fait des cybercrimes potentiellement dévastateurs de l’an dernier. Les dernières statistiques révèlent que les intitutions du secteur de la finance sont 47 % plus susceptibles d’être atteint par une cyberattaque, et que ces types d’entreprises ont été « touchées par des incidents visant à voler de l’argent ou à demander des rançons en 2017 ».

De plus, plus de la moitié – 60 % – des organisations qui déclarent que « la manipulation et le vol de données auraient un impact préjudiciable sur leurs activités ».

Heureusement, l’OCRCVM a mis en œuvre une réglementation plus stricte qui aidera le secteur financier à défendre les intervenants contre la cybercriminalité. L’organisation a rédigé des modifications à ses règles sur les courtiers membres qui :

  • Exiger que les courtiers signalent à l’OCRCVM tout incident de cybersécurité dans les trois jours suivant la découverte de l’incident de cybersécurité.
  • Exiger des courtiers qu’ils fournissent à l’OCRCVM un rapport d’enquête sur l’incident dans les 30 jours suivant la découverte de l’incident de cybersécurité.
  • Dressez la liste des renseignements que les concessionnaires doivent déclarer.

En termes simples, ces modifications élargissent la protection au-delà de la portée de la Loi sur la protection des renseignements personnels et les documents électroniques. Les principaux objectifs de l’élaboration de ces modifications, selon l’OCRCVM, sont les suivants:

  • Fournir un soutien immédiat à un revendeur qui intervient en cas d’incident de cybersécurité.
  • Alerter les autres concessionnaires des menaces et partager les meilleures pratiques en matière de préparation aux incidents.
  • Évaluer les tendances et développer une vision globale de la cybersécurité.
  • Promouvoir la confiance dans le courtier et l’intégrité du marché

Qu’est-ce qu’un « incident » ?

L’OCRCVM a intentionnellement élaboré une définition large d’un incident de cybersécurité parce que, selon eux, différents incidents peuvent avoir des répercussions différentes sur différentes organisations.

Pour ces amendements, un « incident » est défini comme toute atteinte à la sécurité qui:

  • impliquent des renseignements personnels et peuvent faire l’objet d’une déclaration en vertu des obligations de déclaration de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
  • influent sur la capacité d’un courtier de s’acquitter de ses obligations envers ses clients et ses contreparties sur les marchés financiers
  • Affectent à la fois les individus et les non-individus.

Le rapport de trois jours

L’exigence de l’OCRCVM d’un rapport de trois jours leur permettra d’enquêter rapidement sur toute nouvelle cybermenace envers d’autres organisations du secteur financier avant qu’elles ne deviennent des victimes. La cybercriminalité évolue rapidement, de sorte que le fait d’avoir l’information sur les atteintes à la protection des données le plus rapidement possible leur permet de tenir le reste secteur financier informé.

Les exigences minimales pour le rapport de trois jours sont les suivantes :

  • Une description de l’incident de cybersécurité
  • la date à laquelle il a été découvert et la date/heure à laquelle il a été découvert et la période durant laquelle il s’est produit
  • Une évaluation préliminaire de l’incident, y compris le risque de préjudice à toute personne ou d’impact sur les activités d’un investisseur.
  • Une description des mesures d’intervention immédiate qu’un concessionnaire a prises
  • Coordonnées d’une personne qui peut répondre aux questions de suivi

Si la firme d’investissement dispose d’informations supplémentaires, celles-ci peuvent également être incluses dans le rapport. Ces informations sont utilisées pour effectuer une « évaluation préliminaire » de l’incident.

Le rapport de 30 jours

Il s’agit d’un rapport plus détaillé qui comprend :

  • Une description de la cause de l’incident
  • Évaluation de la portée de l’incident
  • Les mesures qu’un concessionnaire a prises pour atténuer le risque de préjudice aux personnes et l’incidence sur ses activités.
  • Les mesures prises par un concessionnaire pour remédier à tout préjudice causé à une personne
  • Mesures prises par un commerçant pour améliorer sa préparation aux incidents de cybersécurité

L’OCRCVM  » anonymise  » ensuite l’information recueillie afin de pouvoir communiquer au public et aux autres courtiers, le plus rapidement et le plus efficacement possible, les conclusions et les nouvelles menaces potentielles.

Comment ce changement aide les investisseurs

Selon une récente étude, les institutions financières tirent les coûts les plus élevés de la cybercriminalité, soit $18.3 millions de dollars par incident. Et bien que les attaques sur le Web comme les logiciels malveillants ou l’hameçonnage soient des problèmes, les attaques sur les personnes et les demandes de rançon augmentent, ce qui représente un coût mondial moyen de 5,5 millions de dollars américains (7 265 225 $ CA).

En recueillant rapidement des renseignements sur les incidents de cybersécurité, l’OCRCVM est en mesure de regrouper et d’assembler des données pour fournir des renseignements préventifs qui peuvent protéger les organisations contre les cybercrimes en évolution.

Comme les entreprises intègrent de plus en plus de nouvelles technologies comme l’apprentissage automatique, l’intelligence artificielle et l’automatisation, la réglementation devra évoluer aussi rapidement que la cybercriminalité. Grâce à l’OCRCVM qui recueille maintenant les plus récents incidents à la cybersécurité et partage l’information publiquement et avec d’autres organisations, les organisations financières peuvent devancer les cybercriminels et se défendre contre la perte de données précieuses et les perturbations commerciales préjudiciables.

Les organisations d’aujourd’hui ont besoin d’investir massivement dans des mesures de sécurité qui protègent leurs actifs et leur clientèle, en raison de l’augmentation du phishing, des logiciels de rançon et des attaques par logiciels malveillants.

Cependant, même avec les équipes techniques en informatiques, les institutions financières ont souvent des vulnérabilités cachées dont elles n’ont pas conscience. C’est pourquoi les organisations devraient prioriser davantage des évaluations régulières pour déterminer si elles doivent renforcer leur cybersécurité. À mesure que les choses se connectent de plus en plus par le biais d’objets intélligents IoT, par les applications Web et mobiles, les cybercriminels peuvent désormais accéder à des informations sensibles en utilisant des techniques d’exploitation complexes qui n’avaient pas été anticipées lors de la mise en œuvre de ces dispositifs intelligents et applications.

Selon un récent sondage, 81% des chefs d’entreprise estiment que le nombre croissant de technologies utilisées introduit des vulnérabilités plus rapidement qu’elles ne peuvent être sécurisées, ce qui signifie que les entreprises d’aujourd’hui bénéficient de contrôles réguliers pour s’assurer de leur sécurité.

À l’aide d’un test d’intrusion, vous êtes en mesure d’évaluer les risques que votre entreprise soit atteint par une cyberattaque et d’obtenir des recommendations concrêtes afin de prévenir les incidents. Communiquez avec un spécialiste certifié en cybersécurité dès aujourd’hui pour en savoir plus.

À propos de l’OCRCVM

L’OCRCVM est un organisme d’autoréglementation qui se concentre sur la protection des investisseurs en établissant des règles et des normes de placement de grande qualité pour le secteur financier canadien. Ils supervisent toutes les activités des courtiers en valeurs mobilières sur le marché canadien des titres d’emprunt et des actions dans le but d’assurer un marché sûr et solide pour les investisseurs du Canada.

Besoin d'Évaluer et d'Atténuer Vos Cyber Risques?

Récents Articles du Blogue Vumetric

Qu’est-ce qu’un Test d’Intrusion?

Les tests d’intrusion sont une simulation autorisée d’une cyberattaque sur les technologies d’une entreprise. Vous avez peut-être aussi entendu parler de « Pentesting » ou de « Piratage Éthique ». L’objectif...

Test d’Intrusion Interne vs Externe

La cybersécurité est un élément essentiel des opérations de toute organisation et dicte souvent la fiabilité d’une entreprise dans le monde des affaires numériques d’aujourd’hui. Si vous gérez vos...

Évaluez Vos Risques

Un spécialiste vous contactera afin de:

Restez Informez!

Abonnez-vous pour rester au fait des dernières tendances, menaces, nouvelles et statistiques en cybersécurité.