6e réunion du groupe de travail sur la sécurité – Le 18 avril 2023
Le présent guide de discussion est fourni pour aider les membres du groupe de travail à se préparer à leur dernière réunion.
Veuillez adresser vos questions ou vos commentaires à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Exigences de déclaration continue
Les activités évoluent, et le profil de risque d'une organisation évolue aussi. Bien que les exigences en matière de sécurité soient traitées lors de l'entrée dans le système, que ce soit au titre de l'accréditation ou des règles communes, ces obligations ne doivent pas rester statiques face aux menaces qui évoluent et surgissent. La production continue de rapports sur la sécurité est un outil essentiel pour assurer la sécurité continue d'un système bancaire ouvert. Pour les participants au système, cela se traduit par une obligation de surveillance continue des risques pour s'assurer qu'ils sont repérés, évalués et atténués au moyen de contrôles appropriés. Cela inspire également confiance dans le système, car cette obligation donne aux consommateurs l'assurance que les organisations qui détiennent leurs données continuent de surveiller les éléments essentiels de leurs programmes de gestion du risque et d'en rendre compte.
L'obligation de production continue de rapports sur la sécurité est une caractéristique commune des cadres de services financiers. Au Canada, la Loi sur les activités associées aux paiements de détail en est un exemple. Elle confie à la Banque du Canada (la Banque) le mandat de superviser les fournisseurs de services de paiement (FSP) et énonce l'obligation de ceux-ci, entre autres choses, de mettre en œuvre et de maintenir un cadre de gestion de risque opérationnel et d'intervention en cas d'incident. Les FSP sont tenus de présenter des rapports annuels pour fournir à la Banque des renseignements à jour sur l'enregistrement ainsi que des renseignements concernant la gestion de risque opérationnel, l'intervention en cas d'incident et les pratiques de sauvegarde des fonds des utilisateurs finaux. À ce rapport annuel, s'ajoute l'obligation de signaler un changement important et des incidents qui ont d'importants effets sur les utilisateurs finaux, d'autres FSP ou certains systèmes de compensation et de règlementNote de bas de page 1.
En Australie, le Consumer Data Right (CDR) définit également l'obligation de produire en continu des rapports sur la sécurité de l'information comme une condition que les participants doivent remplir pour conserver leur adhésion au système. Deux exigences sont imposées aux participants accrédités. La première est une attestation délivrée par la direction, qui 1) doit être présentée sous une forme prescriteNote de bas de page 2 concernant les contrôles et la description du système et 2) expose en détail les modifications, le cas échéant, apportées à l'environnement de données selon le CDR depuis le dernier rapport d'assurance soumis à l'organisme d'accréditation, l'Australian Competition and Consumer Commission. De plus, les participants accrédités doivent fournir un rapport de vérification sur la conception, la mise en œuvre et l'efficacité du fonctionnement des mécanismes de contrôle. La portée varie en fonction du niveau d'accréditation et des cadres de certification utilisés pour démontrer la conformité aux règles de sécurité du CDR. Dans les deux cas, les rapports sont exigés dans un délai prescrit à des intervalles allant d'environ un an à tous les deux ansNote de bas de page 3.
Des obligations similaires existent au Royaume-Uni. En vertu du Payment Services Regulations 2017, les fournisseurs de services d'information sur les comptesNote de bas de page 4 doivent fournir à la Financial Conduct Authority une évaluation des risques opérationnels et de sécurité liés à ses services et de l'adéquation des mesures d'atténuation et des mécanismes de contrôle mis en œuvre en réponse à ces risquesNote de bas de page 5. L'évaluation est fournie selon une fréquence annuelle et au moyen d'un formulaire prescritNote de bas de page 6.
Discussion
- Une fois les exigences de sécurité initiales des règles communes satisfaites, à quelle fréquence une organisation doit-elle attester de nouveau du bien-fondé de ses exigences en matière de sécurité?
- Quelle devrait être l'ampleur de l'attestation? Par exemple, devrait-elle se limiter à une auto-attestation, un rapport d'assurance des tiers ou à autre chose?
- L'obligation de produire en continu des rapports sur la sécurité devrait-elle s'appliquer de la même manière à tous les participants au système?
- Comment le système devrait-il traiter le cas des participants qui signalent une constatation dans le cadre de leurs obligations de déclaration continues? Par exemple, le participant doit-il être automatiquement suspendu ou avoir la possibilité de remédier à la situation?
Résultats
Exigences de déclaration continue
Discussion 1
Une fois les exigences de sécurité initiales des règles communes satisfaites, à quelle fréquence une organisation doit-elle attester de nouveau du bien-fondé de ses exigences en matière de sécurité?
- De l’avis général, une organisation doit attester annuellement du bien-fondé de ses exigences en matière de sécurité.
- Les participants ajoutent que cette exigence doit s’appliquer uniformément, quel que soit le service fourni.
Discussion 2
Quelle devrait être l’ampleur de l’attestation? Par exemple, devrait-elle se limiter à une auto-attestation, un rapport d’assurance de tiers ou à autre chose?
- De l’avis général, les organisations peuvent procéder à une auto-attestation une fois par an, suivie d’une assurance de tiers fournie à intervalles réguliers par la suite.
- Les participants établissent des parallèles avec le modèle SWIFT d’attestation et d’assurance de tiers.
Discussion 3
L’obligation de produire en continu des rapports sur la sécurité devrait-elle s’appliquer de la même manière à tous les participants au système?
- De l’avis général, les rapports de sécurité doivent s’appliquer uniformément à tous les participants au système. Les participants soulignent le besoin de transparence, de visibilité et de communication de l’information pour renforcer la confiance entre les participants de l’écosystème.
Discussion 4
Comment le système devrait-il traiter le cas des participants qui signalent une constatation dans le cadre de leurs obligations de déclaration continues? Par exemple, le participant doit-il être automatiquement suspendu ou avoir la possibilité de remédier à la situation?
- De l’avis général, la suspension automatique peut être une réaction trop stricte.
- Les participants discutent du besoin d’évaluer les cas sur une base individuelle avant de prendre une décision de suspension ou de révocation, en tenant compte de la gravité du problème, de la rapidité de la réponse pour y remédier, de l’état de confinement et des plans de réparation en place.
Participants au groupe de travail sur la sécurité
- Affinity Credit Union
- Alterna Savings and Credit Union Limited
- ATB Financial
- Banque Canadienne Impériale de Commerce
- Clearco
- Banque Équitable
- Flinks
- PayBright
- Questrade
- Banque Royale du Canada
- TD Canada Trust
Absents
- nanopay
Invités externes
- Credit Union Deposit Guarantee Corporation of Alberta
- Agence de la consommation en matière financière du Canada
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :