TORONTO – Les Autorités canadiennes en valeurs mobilières (ACVM) ont publié aujourd’hui l’Avis 33-322 du personnel des ACVM, Examen des pratiques de cybersécurité des sociétés inscrites et indications supplémentaires. Faisant suite à l’inspection ciblée de la conformité visant les pratiques de cybersécurité d’un échantillon de 73 sociétés inscrites, l’avis présente les pratiques observées et les lacunes décelées, et fournit des indications actualisées pour aider les sociétés à renforcer leur cadre de cybersécurité.
Les inspections ont porté sur plusieurs aspects, dont les politiques et procédures de cybersécurité, la formation du personnel, l’évaluation du risque lié à la cybersécurité et les contrôles, la supervision des tiers fournisseurs de services et les plans d’intervention en cas d’incident.
Dans l’ensemble, les ACVM ont conclu qu’un certain nombre de sociétés inspectées, particulièrement les grandes sociétés, s’étaient dotées de politiques et procédures de cybersécurité solides. En revanche, elles ont également constaté des pratiques de cybersécurité à rehausser. Elles ont fait part de leurs observations en matière de conformité aux sociétés concernées pour donner suite à ces constatations. L’avis a également pour but de fournir aux sociétés de toutes tailles, y compris les PME, des indications concrètes et adaptables qui prennent en considération la variabilité des risques de cybersécurité et des ressources disponibles d’une personne inscrite à l’autre.
« Dans le contexte actuel empreint de menaces, les ACVM souhaitent dire clairement aux personnes inscrites qu’il est essentiel de mettre en place des pratiques de cybersécurité rigoureuses. Les indications que nous publions visent à appuyer les sociétés dans l’établissement et le maintien de pratiques de cybersécurité convenant à leur taille et à leurs activités, et capables de s’adapter à l’évolution des menaces en la matière », a déclaré Stan Magidson, président des ACVM et président-directeur général de l’Alberta Securities Commission. « Les risques liés à la cybersécurité continuent de s’accentuer à de nombreux égards, notamment en raison du recours de plus en plus important aux outils numériques, aux modes de travail hybrides et aux plateformes virtuelles pour servir les clients. Nous comptons que les sociétés consultent ces indications, évaluent leurs propres pratiques de cybersécurité, relèvent les lacunes et prennent les mesures pour corriger le tir. Si nos inspections ont montré que bon nombre de sociétés inscrites se sont dotées d’un cadre de cybersécurité, elles ont également mis au jour des possibilités d’améliorations. »
Le personnel s’attend à ce que les sociétés appliquent des pratiques de cybersécurité rigoureuses et utiles dans le contexte de leurs activités. Il invite les sociétés inscrites à prendre connaissance de l’avis et à évaluer si leurs pratiques de cybersécurité peuvent être renforcées en regard de leurs activités actuelles.
Les ACVM sont le conseil composé des autorités provinciales et territoriales en valeurs mobilières du Canada. Elles coordonnent et harmonisent la réglementation des marchés des capitaux du Canada.
Remarques à l’intention des rédacteurs :
- Le personnel des ACVM procède à l’évaluation des pratiques de cybersécurité des sociétés inscrites dans le cadre des inspections de la conformité menées en vertu de l’article 11.1 de la Norme canadienne 31-103 sur les obligations et dispenses d’inscription et les obligations continues des personnes inscrites.
- L’avis s’inscrit dans le prolongement de l’Avis 33-321 du personnel des ACVM, Cybersécurité et médias sociaux, publié en 2017. Il présente les observations et les indications découlant de la récente inspection de la conformité de la cybersécurité réalisée par les ACVM.
Médias : communiquez avec les personnes suivantes :
Curtis Lindsay
Commission des valeurs mobilières de l’Ontario
media@acvm-csa.ca
Ilana Kelemen
Autorités canadiennes en valeurs mobilières
media@acvm-csa.ca
Investisseurs : communiquez avec l’autorité en valeurs mobilières de votre province ou territoire.