Sauter la navigation

Risques technologiques et résilience du secteur financier : le BSIF publie un document de travail

15 octobre 2020

SURVOL

L’innovation et la transformation technologiques et numériques se poursuivent à un rythme accéléré. Bien qu’elles soient essentielles à l’évolution et au succès continus dans plusieurs secteurs d’activités, la technologie et la numérisation peuvent présenter des risques opérationnels et d’entreprise importants.

Ces risques continuent de s’appliquer tout spécialement au secteur des services financiers et aux institutions financières fédérales (les « IFF »), un fait que la pandémie de COVID-19 a fait ressortir de façon particulière, ce qui a accentué la nécessité de solutions technologiques et numériques résilientes.

Reconnaissant que le progrès technologique rapide et la numérisation continuent de façonner le secteur financier tant à l’échelle mondiale que canadienne, le 15 septembre 2020, le Bureau du surintendant des institutions financières (le « BSIF ») a annoncé une consultation de trois mois sur les risques liés aux technologies dans le secteur financier dans la foulée de la publication de son document de travail intitulé Renforcer la résilience du secteur financier dans un monde numérique : Thèmes choisis en lien avec la technologie et les risques connexes.

Ce document énumère de nombreuses questions touchant un éventail de thèmes liés à l’élaboration d’une meilleure compréhension du risque lié aux technologies et des liens qui peuvent être faits avec le risque opérationnel, et il présente le point de vue et les consignes du BSIF. Cette approche s’inscrit dans l’objectif stratégique du BSIF qui consiste à mieux préparer les IFF à déceler les risques appelés « non financiers » et à accroître leur résilience à l’égard de ces risques avant qu’ils ne nuisent à leur situation financière. Le document et la consultation représentent les derniers efforts du BSIF pour l’élaboration de ses approches de réglementation et de surveillance en matière de risques liés aux technologies et de risques non financiers connexes.

Le document invite les parties prenantes concernées à participer à la consultation en présentant des commentaires sur les questions posées dans le document au plus tard le 15 décembre 2020.

COMPRENDRE LE RISQUE LIÉ AUX TECHNOLOGIES

Le document jette les bases en explorant les liens entre le risque opérationnel, le risque lié aux technologies et la résilience opérationnelle. Bien que le document soit axé sur les exigences du BSIF en matière de résilience opérationnelle, une grande partie de celui-ci peut également servir de guide utile et pertinent pour les entreprises d’un secteur non financier qui misent déjà sur la technologie pour mener leurs activités ou mettre en œuvre par ailleurs des projets de transformation numérique.

La définition pratique du BSIF du risque lié aux technologies s’appuie sur les pratiques et les consignes existantes du BSIF et est conforme aux cadres de gestion du risque opérationnel du secteur financier : « Le risque lié aux technologies découle de l’inadéquation, de la mauvaise utilisation, de l’interruption ou de la défaillance des systèmes, de l’infrastructure ou des données de technologie de l’information dans la satisfaction des besoins opérationnels ».

Le document constate que le risque lié aux technologies comporte un éventail de sous-domaines et de sous-risques et recoupe d’autres risques opérationnels et financiers. À titre d’exemple, le document note qu’une fuite de données qui touche des consommateurs de produits et services financiers pourrait nuire à la réputation d’une institution financière et entraîner des pertes financières attribuables à la perte de clients.

ACCENT SUR TROIS AXES IMPORTANTS DU RISQUE LIÉ AUX TECHNOLOGIES

Le document établit les principes de base pour trois axes prioritaires du risque lié aux technologies : la cybersécurité, l’analytique avancée et les écosystèmes de tiers.

Le BSIF a l’intention d’utiliser ces principes comme fondement de nouvelles consignes réglementaires précises. Reconnaissant que les données, en plus de la technologie, constituent l’autre fondement clé et sont interreliées aux trois axes prioritaires du risque, le document aborde séparément les risques liés aux données.

Cybersécurité

Des cyberattaques toujours plus fréquentes et complexes et des incidents connexes continuent de compromettre la sécurité des renseignements des participants du secteur des services financiers et de miner la confiance du public. La confidentialité, l’intégrité et la disponibilité sont identifiées comme les principes fondamentaux de la gestion de la technologie et du cyberrisque. Collectivement, ces principes requièrent que cette information — notamment les renseignements personnels — ne soit ni mise à la disposition ni communiquée à des personnes, entités, processus ou systèmes non autorisés; que l’information ne soit pas modifiée de manière incorrecte ou supprimée et qu’elle reste authentique; et que l’information soit accessible et utilisable de façon fiable et en temps opportun.

Le BSIF renvoie aux consignes déjà publiées pour aider à gérer le cyberrisque conformément à ses Conseils sur l’auto-évaluation en matière de cybersécurité de 2013, qui énoncent les lignes directrices sur les pratiques optimales en matière de cybersécurité, et aux lignes directrices du Signalement des incidents liés à la technologie et à la cybersécurité, qui établissent les exigences en matière de signalement des cyberincidents.

Tout en indiquant que les cyberrisques et les risques liés aux technologies continuent d’évoluer rapidement, le BSIF souligne que l’informatique quantique est un domaine où le risque possible lié aux technologies est en émergence et demande aux parties prenantes d’examiner les risques associés à l’informatique quantique, qui menacent la sécurité de la technologie de cryptographie à clé publique des systèmes d’information existants, et la possibilité que des lacunes dans les consignes actuelles du BSIF doivent être comblées.

Analytique avancée

Les nouvelles technologies, notamment l’intelligence artificielle (IA) et l’apprentissage automatique (AA), transforment les façons dont les données sont analysées et la vitesse à laquelle elles le sont. L’analytique avancée qui utilise l’IA et l’AA fait naître de nouveaux risques et amplifie des risques existants. Le BSIF a déterminé que la solidité, l’explicabilité et la responsabilité constituaient les principes fondamentaux de la gestion des risques associés à l’analytique avancée et aux technologies sous-jacentes. Ces principes cherchent à assurer que les modèles reposant sur l’IA et l’AA sont exacts, fiables, auditables et conçus pour être équitables, que les modèles reposant sur l’IA et l’AA et leurs résultats puissent être expliqués et compris, que les cadres de gestion du risque appropriés intègrent l’IA et l’AA et que des rôles et des responsabilités appropriés soient attribués dans l’ensemble des IFF.

Le BSIF reconnaît que les consignes existantes pourraient ne pas suffire pour faire face aux risques associés à l’analytique avancée et demande aux parties prenantes de lui transmettre leurs commentaires afin de l’aider dans le cadre de l’identification de risques supplémentaires et de l’élaboration possible de nouveaux principes et de nouvelles consignes visant à gérer les risques associés à l’analytique avancée.

Écosystèmes de tiers dans le domaine de la technologie

Les IFF utilisent abondamment des produits et des services de tiers pour mener leurs activités et exploiter leurs entreprises, notamment par l’impartition de fonctions ou d’activités commerciales à un tiers ou par le recours à des services qui tirent parti de l’infrastructure et de services exploités par des tiers.

Les principes fondamentaux sur lesquels le BSIF se fonde pour la gestion des risques liés aux tiers dans le domaine de la technologie sont la transparence, la fiabilité et la substituabilité. Les IFF sont responsables de leurs activités commerciales et doivent avoir un accès approprié aux activités de leurs fournisseurs tiers; les services de tiers doivent être disponibles et fiables; et les services de technologie fournis par des tiers devraient pouvoir être transférés à un autre fournisseur et offerts par celui-ci.

Depuis 2001, le BSIF a maintenu des consignes sur l’impartition d’activités commerciales aux termes de sa ligne directrice B‑10 sur l’impartition, en sa version mise à jour au fil du temps pour tenir compte de certains développements pertinents, comme l’infonuagique.

Constatant l’évolution continue des écosystèmes et modèles de services de tiers et les défis et risques connexes soulevés par ces écosystèmes et modèles, en particulier dans le domaine des services infonuagiques, autres que les modèles « service », ainsi que les relations qui se développent avec des tiers, notamment les entreprises de technologie financière pour livrer des produits et services financiers, le BSIF entreprendra un processus de consultation distinct au sujet des attentes énoncées dans la ligne directrice B-10. Les résultats de la présente consultation ainsi que d’autres discussions stratégiques à l’échelle internationale et les travaux de surveillance du BSIF éclaireront cette démarche.

Données

Les données sont essentielles au fonctionnement d’une institution financière et de solides pratiques de gestion du risque lié aux données ont toujours représenté une exigence fondamentale. La transformation et la technologie numériques ont permis d’augmenter le volume des données et d’accélérer les façons dont elles sont utilisées et traitées, entraînant des risques liés aux données plus nombreux, notamment dans les trois axes du risque abordés dans le document.

Le BSIF a souligné deux séries de faits nouveaux précis qui influeront sur la gestion du risque lié aux données dans le secteur des services financiers.

La première série concerne la sécurité des données et la protection de la vie privée. La sécurité des renseignements financiers personnels des consommateurs est essentielle à la gestion du risque d’atteinte à la réputation ou du risque juridique ou de non-conformité pour une IFF. De récentes initiatives du gouvernement fédéral, comme la Charte canadienne du numérique : La confiance dans un monde numérique et ses propositions de moderniser la Loi sur la protection des renseignements personnels et les documents électroniques, mettent l’accent sur la sécurité des données et des renseignements personnels et sur le contrôle accru que les particuliers exercent sur leurs renseignements personnels et leur vie privée.

La seconde série de faits nouveaux touche le lancement de cadres régissant les interfaces de programmation ouvertes qui permettraient que les développeurs tiers puissent avoir accès à des données financières que les consommateurs consentent à mettre à leur disposition et utiliser celles-ci pour créer des applications et fournir des services. Les consultations et les examens se poursuivent alors que le gouvernement canadien, le BSIF et d’autres gouvernements et organismes de réglementation partout dans le monde continuent d’étudier les questions soulevées par les interfaces de programmation ouvertes, notamment en lien avec la protection de la vie privée et la sécurité.

Pour en savoir davantage, communiquez avec :

Sunny Handa              514-982-4008
Robert Percival           416-863-5297
David Feldman           416-863-4021

ou un autre membre de notre groupe Technologie.

Plus de ressources