5e réunion du groupe de travail sur la sécurité – Le 21 octobre 2022
Le présent guide de discussion est fourni pour aider les membres du groupe de travail sur la sécurité à se préparer à la cinquième réunion.
Pour toute question ou tout commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Gouvernance interne afin de mitiger les risques
Dans le cadre des règles communes, il est recommandé dans le rapport final du Comité consultatif sur un système bancaire ouvert (le rapport) que le système canadien réponde aux exigences relatives à la sécurité des données ainsi qu'au risque opérationnel et systémique. Comme il est mentionné dans le rapport, les consommateurs doivent avoir confiance et être sûrs que le système est conçu selon des considérations de sûreté et de sécurité à tous les niveaux.
Pour répondre à cette exigence, les réunions du groupe de travail sur la sécurité reposent sur une approche basée sur la capacité de risque. Les discussions portent sur l'établissement des éléments clés des programmes de gestion du risque en ce qui concerne les risques liés à l'information, à la cybersécurité et aux opérations. Au cours de ces réunions, une considération préliminaire a été donnée à certaines exigences de gouvernance interne afin de mitiger les risques liés à ces disciplines, y compris la pertinence du modèle des trois lignes de défense ainsi qu'un professionnel du risque dédié dans les rangs de la haute direction.
Cependant, une vision globale de la manière dont une organisation aborde la gouvernance du risque doit encore être analysée. Alors que l'établissement des principaux risques auxquels les participants au système bancaire ouvert peuvent être exposés est une étape essentielle dans la gestion de ces risques, l'efficacité globale est complétée par un programme interne de gouvernance des risques qui décrit les responsabilités, le leadership, la structure organisationnelle et les cadres aux fins d'une surveillance à l'échelle de l'entreprise des risques critiques.
L'objectif de cette réunion du groupe de travail est de se concentrer sur les exigences en matière de gouvernance interne liée aux risques pour soutenir une gestion et une surveillance appropriées du risque afin d'établir, de mesurer, de contrôler, de surveiller les risques et d'en rendre compte. Les exigences en matière de gouvernance interne liée aux risques dans le contexte des services financiers ne sont pas rares. Par exemple, le Bureau du surintendant des institutions financières décrit ces attentes dans des lignes directrices applicables aux institutions financières sous réglementation fédéraleNote de bas de page 1. Des dispositions similaires existent également dans les cadres bancaires ouvertsNote de bas de page 2.
Comme cela a souvent été le cas dans les différents thèmes du groupe de travail, le concept de proportionnalité reste également une considération. Alors que l'objectif des règles communes est de créer des exigences à l'échelle du système, les différents profils des entreprises, notamment du point de vue de leur complexité et de leur taille, entre autres facteurs, méritent une approche qui tienne compte du risque inhérent posé par ces organisations. De plus, une application uniforme des exigences en matière de gouvernance interne liée aux risques pourrait imposer des exigences onéreuses susceptibles de dissuader les entrants potentiels dans le système.
Discussion
- Quels sont les principaux composants du cadre global de gestion de la sécurité d'un participant au système? À envisager selon une approche descendante (par exemple, sensibilisation du conseil d'administration, structures des comités, documents de politiques/procédures documentées, déclarations d'appétence au risque, etc.).
- Une fonction sécurité dédiée est-elle nécessaire à la bonne gestion des risques liés à la sécurité? Dans l'affirmative, quels seraient les principaux attributs d'une telle fonction?
- Quelles sont les principales exigences d'un programme d'évaluation des contrôles convenable?
- Quels sont les principaux composants d'un plan de réponse aux incidents?
- Quelle est l'importance de la sensibilisation du personnel et de la formation aux risques dans la gestion des risques en matière de sécurité d'un participant au système?
- Dans un esprit de proportionnalité, le groupe de travail sur l'accréditation a discuté de différentes voies pour accéder aux données autorisées par les consommateurs, y compris des niveaux et un modèle d'agence selon lequel un participant potentiel au système s'appuie sur l'accès d'une organisation principale pleinement accréditée. Si un tel modèle était mis en œuvre, les exigences de gouvernance interne liée aux risques varieraient-elles en fonction du modèle d'accès au système?
- Comment une organisation prouvera-t-elle son respect des exigences en matière de sécurité (par exemple, autoévaluation ou rapport d'assurance)? Le respect des exigences en matière de sécurité est-il une obligation statique ou permanente? Dans le dernier cas, à quelle fréquence doit-il être rafraîchi?
Résultats
Gouvernance interne afin de mitiger les risques
Discussion 1
Quels sont les principaux composants du cadre global de gestion de la sécurité d’un participant au système? À envisager selon une approche descendante (par exemple, sensibilisation du conseil d’administration, structures des comités, documents de politiques/procédures documentées, déclarations d’appétence au risque, etc.).
- Le consensus qui s’en était dégagé était que les éléments essentiels comprennent des politiques et des procédures documentées gérées et appliquées par des fonctions de surveillance, des contrôles spécifiques, ainsi que la responsabilisation des cadres supérieurs avec suffisamment de pouvoir et d’indépendance pour agir sur les questions liées à la sécurité.
- Parmi les autres exemples fournis par les participants, mentionnons la mise en place d’un cadre de gestion des incidents, la mise à l’essai continue des contrôles ainsi que des examens réguliers, effectués par des tiers, sur la conception et de l’efficacité des contrôles.
Discussion 2
Une fonction sécurité dédiée est-elle nécessaire à la bonne gestion des risques liés à la sécurité? Dans l’affirmative, quels seraient les principaux attributs d’une telle fonction?
- Il a été généralement admis qu’une fonction de sécurité dédiée est nécessaire à la bonne gestion des risques liés à la sécurité.
- Les justifications comprenaient la contribution à la culture du risque au sein d’une organisation, exposant la responsabilisation et établissant la séparation des tâches. L’importance d’une expertise précise pour évaluer et communiquer les enjeux de sécurité dans l’ensemble de l’organisation a également été mentionnée.
Discussion 3
Quelles sont les principales exigences d’un programme d’évaluation des contrôles convenable?
- Tous s’entendaient pour dire que l’examen par des tiers de la conception et de l’efficacité des contrôles est une exigence d’un programme adéquat d’évaluation des contrôles.
- Parmi les autres exemples fournis par les participants, mentionnons les examens réguliers, la propriété, les essais et la déclaration des contrôles prescrits ainsi que les exigences en matière de mesures correctives.
Discussion 4
Quels sont les principaux composants d’un plan de réponse aux incidents?
- De l’avis général, le fait que les éléments essentiels comprenaient des exigences en matière d’analyse des événements à la suite d’un incident, la transmission de l’incident aux cadres supérieurs responsables, des plans de redressement et un processus de communication des leçons apprises dans l’ensemble de l’organisation.
- Parmi les autres exemples fournis par les participants, mentionnons un processus visant à confirmer la fin de l’incident, l’essai de scénarios du plan d’intervention en cas d’incident à l’interne et avec des tiers, un service de dépannage pour répondre aux préoccupations des consommateurs et un plan de communication pour informer le public.
Discussion 5
Quelle est l’importance de la sensibilisation du personnel et de la formation aux risques dans la gestion des risques en matière de sécurité d’un participant au système?
- Le consensus qui s’en était dégagé était que la sensibilisation du personnel et la formation aux risques constituent des composants essentiels de la gestion des risques de sécurité par un participant au système.
- Les raisons invoquées comprenaient la menace considérable que représentaient les tentatives d’hameçonnage, l’évolution du contexte des menaces et le nombre d’infractions attribuables au personnel.
- Les participants ont ajouté que la formation pourrait porter sur des sujets liés à l’hameçonnage, à la sécurité du périmètre et à la protection par mot de passe.
Discussion 6
Dans un esprit de proportionnalité, le groupe de travail sur l’accréditation a discuté de différentes voies pour accéder aux données autorisées par les consommateurs, y compris des niveaux et un modèle d’agence selon lequel un participant potentiel au système s’appuie sur l’accès d’une organisation principale pleinement accréditée. Si un tel modèle était mis en œuvre, les exigences de gouvernance interne liée aux risques varieraient-elles en fonction du modèle d’accès au système?
- Il y a eu un consensus selon lequel les exigences de gouvernance ne devraient pas être assouplies pour les participants qui stockent les données des clients dans leur environnement. Hormis ce scénario, des exemples d’exigences assouplies en matière de gouvernance comprenaient le fait de dispenser les parties de présenter des rapports, une fonction de sécurité dédiée et une formation interne.
- En plus du stockage de données, d’autres participants ont suggéré que les exigences ne devraient pas être assouplies pour les participants qui manipulent ou traitent des données.
Discussion 7
Comment une organisation prouvera-t-elle son respect des exigences en matière de sécurité (par exemple, autoévaluation ou rapport d’assurance)? Le respect des exigences en matière de sécurité est-il une obligation statique ou permanente? Dans le dernier cas, à quelle fréquence doit-il être rafraîchi?
- Tous étaient d’accord pour dire que les organisations devraient démontrer leur respect des exigences en matière de sécurité en présentant un rapport d’assurance indépendant actualisé à intervalles réguliers ou à la suite de certains événements. Parmi ces exemples, mentionnons des changements aux exigences d’accréditation ou une activité à l’échelle de l’industrie.
Participants du groupe de travail sur la sécurité
Membres
- Affinity Credit Union
- Alterna Savings and Credit Union Limited
- ATB Financial
- Banque canadienne impériale de commerce
- Banque Équitable
- Flinks
- nanopay
- PayBright
- Questrade
- Banque Royale du Canada
- TD Canada Trust
Absent
- Clearco
Invités externes
- Credit Union Deposit Guarantee Corporation of Alberta
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Signaler un problème ou une erreur sur cette page
- Date de modification :