1re réunion du groupe de travail sur la sécurité – Le 6 juillet 2022
Le présent guide de discussion est offert pour aider les membres du groupe de travail à se préparer à la réunion.
Pour toute question ou commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Objectif
Afin d’assurer le bon fonctionnement d’un système bancaire ouvert, le Comité consultatif sur le système bancaire ouvert (le Comité) a recommandé que des règles communes soient établies dans les domaines de la responsabilité, de la protection de la vie privée et de la sécurité.
Ce groupe de travail a pour objectif d’élaborer des règles communes sur la sécurité qui seront recommandées au gouvernement.
Dans son rapport final, le Comité a mentionné que l’objectif principal de la mise en œuvre du système bancaire ouvert au Canada est de réaliser le droit des consommateurs à la portabilité des données et de passer à un système de partage des données sécurisé et efficace, autorisé par les consommateurs.
Ce groupe de travail abordera les risques de sécurité liés aux participants du système bancaire ouvert. Avec le soutien du ministère des Finances Canada (le Secrétariat), le responsable du système bancaire ouvert (le responsable) fera preuve de diligence raisonnable de façon distincte sur les exigences de sécurité des normes techniques sur l’interface de programme d’application (API) qui facilitera l’échange de données entre les participants.
Approche et calendriers
Les réunions auront lieu environ toutes les trois semaines. Les membres sont invités à examiner les documents suivants avant les réunions :
- Charte canadienne du numérique : La confiance dans un monde numérique
- Rapport final, Comité consultatif sur le système bancaire ouvert
- Mandat des groupes de travail sur le système bancaire ouvert et du comité directeur
- Annexe A – Calendrier des sujets du groupe de travail sur la sécurité
Le responsable, avec le soutien du Secrétariat, distribuera les documents permettant de guider les discussions de chaque réunion, qui seront également disponibles sur la page de la mise en œuvre du système bancaire ouvert. Les membres peuvent également être invités à rédiger des documents pour la discussion.
Sujets du groupe de travail sur la sécurité et calendrier
Discussion
- Y a-t-il d’autres sujets qui devraient être examinés par le groupe de travail sur la sécurité qui n’ont pas été repris à l’annexe A?
- Quel est votre avis sur le calendrier et la cadence proposés pour le plan de travail?
Approche à l’égard de la gestion des risques
Tout comme les institutions financières utilisent une « approche axée sur les risques » pour établir les priorités dans les domaines qui méritent le plus d’attention, une approche similaire peut être utile pour déterminer les exigences de sécurité. La probabilité et l’incidence de la matérialisation d’un risque sont un facteur important à considérer.
Comme le Comité le fait remarquer, il est nécessaire d’établir des exigences de sécurité de base comme « plancher » minimal pour servir d’entrée dans un système bancaire ouvert. Avec des tailles, des modèles d’affaires et des profils de risque différents, cela garantit que les participants accrédités accordent l’attention et les ressources nécessaires aux plus grands risques inhérents. De plus, cela favorisera une application proportionnelle des exigences de sécurité en fonction du profil d’un participant.
Discussion
- La sécurité des données, la cybersécurité et le risque opérationnel (par exemple, la fraude externe) sont des risques clés découlant du système bancaire ouvert. Compte tenu de la nécessité d’adopter une approche axée sur les risques et d’établir les exigences de base, y a-t-il d’autres types de risques qui devraient être pris en considération?
- Quels facteurs devraient être pris en considération pour évaluer l’application proportionnelle des cadres et des contrôles qui s’appliqueront aux types de risque identifiés?
- Quels défis peut-on prévoir dans la mise en œuvre des cadres et des contrôles?
Annexe A – Calendrier des sujets du groupe de travail sur la sécurité
|
Calendrier Juillet |
Sujet | Résultat |
|---|---|---|
| Réunion 1 | Approche à l’égard de la gestion des risques | Décision sur les principaux risques posés par le système bancaire ouvert |
|
Calendrier De juillet à octobre |
Sujet | Résultat |
|---|---|---|
| Réunion 2 | Sécurité des données | Règles communes sur les cadres et contrôles relatifs à la sécurité des données |
| Réunion 3 | Cybersécurité | Règles communes sur les cadres et contrôles relatifs à la cybersécurité |
| Réunion 4 | Risques opérationnels | Règles communes sur les cadres et contrôles relatifs aux risques opérationnels (fraude, authentification, gestion des incidents) |
| Réunion 5 | Autres risques fondamentaux | Règles communes sur les cadres et contrôles applicables à d’autres types de risques soulevés par les intervenants |
|
Calendrier De novembre à décembre |
Sujet | Résultat |
|---|---|---|
| Réunion 6 | Gouvernance interne (partie 1) | Règles communes sur la gouvernance associée à la gestion des risques dans l’organisation (par exemple, cadres, politiques, reddition de comptes et appétit pour les risques liés à la propriété, essais, fonctions dédiées) |
| Réunion 7 | Gouvernance interne (partie 2) | Règles communes sur la gouvernance associée à la gestion des risques dans l’organisation (par exemple, cadres, politiques, reddition de comptes et appétit pour les risques liés à la propriété, essais, fonctions dédiées) |
| Réunion 8 | Production de rapports | Règles communes sur les exigences permanentes en matière de production de rapports (par exemple, fréquence des attestations de conformité, divulgation publique) |
Résultats
Sujets et échéanciers du groupe de travail sur la sécurité
Discussion 1
Y a-t-il d’autres sujets qui devraient être examinés par le groupe de travail sur la sécurité qui n’ont pas été repris à l’annexe A?
- Un consensus général a été atteint sur le fait que les sujets proposés pour le groupe de travail sur la sécurité sont adéquats.
- Il y a eu une discussion en lien avec la qualité des données, notamment sur la place de ce sujet dans le cadre des groupes de travail. Des préoccupations quant à la responsabilité et à savoir si les mesures de contrôle de la qualité des données sont nécessaires lors de la première phase du système bancaire ouvert ont été mentionnées.
Discussion 2
Quel est votre avis sur le calendrier et la cadence proposés pour le plan de travail?
- Un consensus général a été atteint sur le fait que l’échéancier proposé et la cadence des réunions pour le groupe de travail sur la sécurité sont adéquats. On note que du temps supplémentaire pourrait devoir être accordé pour les discussions portant sur les risques opérationnels et le signalement.
Approche face à la gestion du risque
Discussion 3
La sécurité des données, la cybersécurité et le risque opérationnel (par exemple, la fraude externe) sont des risques clés découlant du système bancaire ouvert. Compte tenu de la nécessité d’adopter une approche axée sur les risques et d’établir les exigences de base, y a-t-il d’autres types de risques qui devraient être pris en considération?
- Il y a eu un accord général face aux principaux types de risques : sécurité des donnés, cybersécurité et risques opérationnels. Les participants notent l’importance de gérer les risques (risques opérationnels, risques pour la réputation, stockage des données, résidence et qualité) au fur et à mesure que le système évolue.
Discussion 4
Quels facteurs devraient être pris en considération pour évaluer l’application proportionnelle des cadres et des contrôles qui s’appliqueront aux types de risque identifiés?
- Il y a eu un accord général quant à la nécessité d’évaluer l’application proportionnelle des cadres de gestion des risques. Parmi les facteurs, notons la portée, la nature de l’utilisation des données, le nombre de clients et les types de services.
Discussion 5
Quels défis peut-on prévoir dans la mise en œuvre des cadres et des contrôles?
- Un participant mentionne que les banques pourraient faire face à des défis lors de la mise en œuvre, en raison d’anciens systèmes de technologie de l’information.
- Un participant note que le fait de veiller à ce que les mesures de contrôle évoluent au fil du temps dans le but de limiter les risques pour l’architecture du système financier pourrait représenter un défi.
Participants du groupe de travail sur la sécurité
Membres
- Affinity Credit Union
- Alterna Savings and Credit Union Limited
- ATB Financial
- Banque Canadienne Impériale de Commerce
- Clearco
- Equitable Bank
- Flinks
- nanopay
- PayBright
- Questrade
- Banque Royale du Canada
- TD Canada Trust
Invités externes
- Credit Union Deposit Guarantee Corporation of Alberta
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :