6e réunion du groupe de travail sur la sécurité – Le 18 avril 2023

Le présent guide de discussion est fourni pour aider les membres du groupe de travail à se préparer à leur dernière réunion.

Veuillez adresser vos questions ou vos commentaires à obbo@fin.gc.ca.

Sur cette page :

Guide de discussion

Exigences de déclaration continue

Les activités évoluent, et le profil de risque d'une organisation évolue aussi. Bien que les exigences en matière de sécurité soient traitées lors de l'entrée dans le système, que ce soit au titre de l'accréditation ou des règles communes, ces obligations ne doivent pas rester statiques face aux menaces qui évoluent et surgissent. La production continue de rapports sur la sécurité est un outil essentiel pour assurer la sécurité continue d'un système bancaire ouvert. Pour les participants au système, cela se traduit par une obligation de surveillance continue des risques pour s'assurer qu'ils sont repérés, évalués et atténués au moyen de contrôles appropriés. Cela inspire également confiance dans le système, car cette obligation donne aux consommateurs l'assurance que les organisations qui détiennent leurs données continuent de surveiller les éléments essentiels de leurs programmes de gestion du risque et d'en rendre compte.

L'obligation de production continue de rapports sur la sécurité est une caractéristique commune des cadres de services financiers. Au Canada, la Loi sur les activités associées aux paiements de détail en est un exemple. Elle confie à la Banque du Canada (la Banque) le mandat de superviser les fournisseurs de services de paiement (FSP) et énonce l'obligation de ceux-ci, entre autres choses, de mettre en œuvre et de maintenir un cadre de gestion de risque opérationnel et d'intervention en cas d'incident. Les FSP sont tenus de présenter des rapports annuels pour fournir à la Banque des renseignements à jour sur l'enregistrement ainsi que des renseignements concernant la gestion de risque opérationnel, l'intervention en cas d'incident et les pratiques de sauvegarde des fonds des utilisateurs finaux. À ce rapport annuel, s'ajoute l'obligation de signaler un changement important et des incidents qui ont d'importants effets sur les utilisateurs finaux, d'autres FSP ou certains systèmes de compensation et de règlementNote de bas de page 1

En Australie, le Consumer Data Right (CDR) définit également l'obligation de produire en continu des rapports sur la sécurité de l'information comme une condition que les participants doivent remplir pour conserver leur adhésion au système. Deux exigences sont imposées aux participants accrédités. La première est une attestation délivrée par la direction, qui 1) doit être présentée sous une forme prescriteNote de bas de page 2 concernant les contrôles et la description du système et 2) expose en détail les modifications, le cas échéant, apportées à l'environnement de données selon le CDR depuis le dernier rapport d'assurance soumis à l'organisme d'accréditation, l'Australian Competition and Consumer Commission. De plus, les participants accrédités doivent fournir un rapport de vérification sur la conception, la mise en œuvre et l'efficacité du fonctionnement des mécanismes de contrôle. La portée varie en fonction du niveau d'accréditation et des cadres de certification utilisés pour démontrer la conformité aux règles de sécurité du CDR. Dans les deux cas, les rapports sont exigés dans un délai prescrit à des intervalles allant d'environ un an à tous les deux ansNote de bas de page 3.

Des obligations similaires existent au Royaume-Uni. En vertu du Payment Services Regulations 2017, les fournisseurs de services d'information sur les comptesNote de bas de page 4 doivent fournir à la Financial Conduct Authority une évaluation des risques opérationnels et de sécurité liés à ses services et de l'adéquation des mesures d'atténuation et des mécanismes de contrôle mis en œuvre en réponse à ces risquesNote de bas de page 5. L'évaluation est fournie selon une fréquence annuelle et au moyen d'un formulaire prescritNote de bas de page 6.

Discussion

  1. Une fois les exigences de sécurité initiales des règles communes satisfaites, à quelle fréquence une organisation doit-elle attester de nouveau du bien-fondé de ses exigences en matière de sécurité?
  2. Quelle devrait être l'ampleur de l'attestation? Par exemple, devrait-elle se limiter à une auto-attestation, un rapport d'assurance des tiers ou à autre chose?
  3. L'obligation de produire en continu des rapports sur la sécurité devrait-elle s'appliquer de la même manière à tous les participants au système?
  4. Comment le système devrait-il traiter le cas des participants qui signalent une constatation dans le cadre de leurs obligations de déclaration continues? Par exemple, le participant doit-il être automatiquement suspendu ou avoir la possibilité de remédier à la situation?

Résultats

Exigences de déclaration continue

Discussion 1

Une fois les exigences de sécurité initiales des règles communes satisfaites, à quelle fréquence une organisation doit-elle attester de nouveau du bien-fondé de ses exigences en matière de sécurité?

Discussion 2

Quelle devrait être l’ampleur de l’attestation? Par exemple, devrait-elle se limiter à une auto-attestation, un rapport d’assurance de tiers ou à autre chose?

Discussion 3

L’obligation de produire en continu des rapports sur la sécurité devrait-elle s’appliquer de la même manière à tous les participants au système?

Discussion 4

Comment le système devrait-il traiter le cas des participants qui signalent une constatation dans le cadre de leurs obligations de déclaration continues? Par exemple, le participant doit-il être automatiquement suspendu ou avoir la possibilité de remédier à la situation?

Participants au groupe de travail sur la sécurité

Membres
  • Affinity Credit Union
  • Alterna Savings and Credit Union Limited
  • ATB Financial
  • Banque Canadienne Impériale de Commerce
  • Clearco
  • Banque Équitable
  • Flinks
  • PayBright
  • Questrade
  • Banque Royale du Canada
  • TD Canada Trust

Absents

  • nanopay

Invités externes

  • Credit Union Deposit Guarantee Corporation of Alberta
  • Agence de la consommation en matière financière du Canada
  • Bureau du surintendant des institutions financières

Président

  • Abraham Tachjian, responsable du système bancaire ouvert

Secrétariat

  • Ministère des Finances Canada

Détails de la page

Date de modification :