2e réunion du groupe de travail sur la sécurité – Le 28 juillet 2022
Le présent guide de discussion est fourni pour aider les membres du groupe de travail sur la sécurité à se préparer à la deuxième réunion qui s’appuie sur les principaux risques discutés à la première réunion.
Pour toute question ou commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Sécurité des données
Le Comité consultatif sur le système bancaire ouvert a mentionné que la sécurité des données, qui comprend l’authentification, l’autorisation, la confidentialité, la disponibilité, l’intégrité et la non-répudiation, devrait être un élément clé d’un système bancaire ouvert.
La mise à profit de l’expertise de l’industrie et des cadres et certifications existants peut aider à établir un ensemble minimum de règles efficaces qui protègent la confidentialité, l’intégrité et la disponibilité de l’information et des données dans l’écosystème du système bancaire ouvert.
Par exemple, en vertu du régime australien des droits relatifs aux données des consommateurs (CDR), certaines entités qui demandent une accréditation doivent satisfaire aux obligations en matière de sécurité de l’information. À cette fin, les demandeurs peuvent fournir des preuves de conformité à des cadres telles que la norme ISO 27001. L’entité de mise en œuvre du système bancaire ouvert du Royaume-Uni adopte une approche semblable.
Discussion
- Existe-t-il des cadres et des régimes d’accréditation existants qui pourraient fournir les exigences de base pour aborder les risques liés à la sécurité des données?
- Ces cadres et ces accréditations conviennent-ils aux organisations de taille, de complexité et de niveaux de risque différents?
- Quels avantages les cadres et les accréditations offrent-ils aux demandeurs d’accréditation potentiels?
- Quels défis peuvent être prévus dans la mise en œuvre des cadres et des régimes d’accréditation et comment peuvent-ils être relevés?
Résultats
Sécurité des données
Discussion 1
Existe-t-il des cadres et des régimes d’accréditation qui pourraient fournir les exigences de base pour aborder les risques liés à la sécurité des données?
- Les participants ont généralement convenu du fait que les cadres et les régimes d’accréditation existants pourraient servir de base de référence pour les risques liés à la sécurité des données.
- Une majorité de participants a convenu que le cadre du National Institute of Standards and Technology (NIST) offre un bon équilibre entre la souplesse et les exigences normatives, et peut être complété par des contrôles supplémentaires.
- L’accréditation SOC 2 est considérée comme étant trop élémentaire, et la norme ISO27001, trop stricte.
- Les participants trouvent également que le cadre du NIST traite à la fois de la sécurité de l’information et des cyberrisques.
- Certains participants ont noté que le fait de rendre obligatoire l’accréditation NIST pourrait représenter un fardeau pour les petites entreprises de technologie financière et nuire à leur niveau d’innovation.
Discussion 2
Ces cadres et accréditations conviennent-ils aux organisations de taille, de complexité et de niveaux de risque différents?
- Les participants ont discuté du fait que la souplesse inhérente intégrée au cadre du NIST est suffisante pour répondre aux besoins de proportionnalité. Cela peut être fait en s’appuyant sur différents niveaux de normes NIST.
- Certains participants ont noté que la manière dont une organisation utilise les données et le type de données pouvaient être plus importants que la taille de l’organisation lorsqu’il s’agit de déterminer les risques liés à la sécurité des données.
Discussion 3
Quels avantages les cadres et les accréditations offrent-ils aux demandeurs d’accréditation potentiels?
- Un consensus a été atteint quant au fait que l’accréditation crée une feuille de route définie et une cohérence pour les candidats à l’accréditation.
- Les participants ont discuté également de la nécessité pour un cadre d’être évolutif, de faciliter la surveillance continue et d’évoluer avec le système.
Discussion 4
Quels défis peuvent être prévus dans la mise en œuvre des cadres et des régimes d’accréditation et comment peuvent-ils être relevés?
- Les participants ont noté les défis potentiels liés aux exigences de temps et de ressources pour la mise en œuvre, l’impact des modifications du cadre et des contrôles supplémentaires, et l’offre d’expertise sur le marché.
- Les participants ont discuté d’une communication préliminaire et claire comme solution potentielle pour permettre au marché de s’adapter.
Participants au groupe de travail sur la sécurité
Membres
- Affinity Credit Union
- Caisse Alterna
- ATB Financial
- Banque canadienne impériale de commerce
- Clearco
- Banque Équitable
- Flinks
- nanopay
- PayBright
- Questrade
- Banque Royale du Canada
- TD Canada Trust
Invités externes
- Credit Union Deposit Guarantee Corporation de l’Alberta
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :