Le 15 septembre 2020, le Bureau du surintendant des institutions financières (le « BSIF ») a publié le document de travail intitulé «  Renforcer la résilience du secteur financier dans un monde numérique ». Ce document est l'un des produits de l'initiative stratégique du BSIF pour les années 2019 à 2022 et vise la mise au point d'approches plus modernes et efficaces en matière de risques non financiers, comme ceux posés par la cybercriminalité, l'intelligence artificielle et l'infonuagique, entre autres. Comme le mentionne le BSIF, bien que la pandémie de COVID-19 n'ait pas déclenché la mise en Suvre de l'initiative stratégique, elle « a mis en lumière le besoin d'infrastructures technologiques résilientes » et « d'importantes leçons » pourront en être tirées à l'avenir.

Le document est censé susciter des discussions et, par conséquent, ne vise pas l'annonce de propositions fermes. Il comprend 18 questions soumises à la consultation, dont les réponses seront acceptées jusqu'au 15 décembre 2020.

Résumé du document de travail

Outre une discussion générale sur le risque lié aux technologies, les trois principaux types de risque suivants en lien avec les institutions financières fédérales (les « IFF ») sont examinés dans le document de travail :

  • Le risque lié à la cybersécurité;
  • Le risque lié à l'IA et à l'apprentissage automatique (notamment l'analytique avancée);
  • Le risque lié à l'écosystème de tiers (notamment l'impartition).

Le document de travail dégage les principes fondamentaux pertinents en lien avec ces « axes de risque prioritaires », autour desquels des plans de gestion concrets des risques peuvent être mis au point. Il fait également mention du risque de gestion des données et de l'incidence des modifications de la législation canadienne relative à la protection de la vie privée.

Comprendre le risque lié aux technologies

Définition du risque lié aux technologies

Le document de travail définit le « risque lié aux technologies » comme le risque qui : 

« découle de l'inadéquation, de la mauvaise utilisation, de l'interruption ou de la défaillance des systèmes, de l'infrastructure ou des données de technologie de l'information dans la satisfaction des besoins opérationnels. »

Les sous-catégories de risque comprennent les cyberrisques, qui s'ajoutent aux risques entourant la configuration, la gestion des incidents et la gestion de projets. Le risque lié aux technologies est associé à d'autres risques, comme le risque d'atteinte à la réputation et le risque de pertes financières attribuables à la perte de clients.

Gestion du risque et résilience

Au sein de l'industrie financière, les normes et pratiques existantes évaluent généralement le risque technologique dans le cadre plus large de la gestion du risque opérationnel. La ligne directrice E-21 en vigueur du BSIF adopte cette approche en appliquant les pratiques exemplaires de gestion du risque opérationnel (« GRO ») aux IFF.

Toutefois, dernièrement, le BSIF et d'autres organismes de réglementation ont déplacé l'intérêt porté à la GRO vers le concept légèrement différent de « résilience opérationnelle » (« RO »). Même s'il y a certains chevauchements, la différence entre les deux concepts réside dans le fait que la GRO est fondée sur les processus et axée sur l'évitement des événements défavorables, tandis que la RO (qui a fait l'objet d'un document consultatif du Comité de Bâle sur le contrôle bancaire) est axée sur les résultats et tolère davantage le caractère inévitable des événements défavorables – elle se soucie moins de les éviter et plus de la façon de s'en remettre.

En outre, il est observé dans le document de travail que « la gestion traditionnelle du risque lié à la continuité des activités ... ne tient pas suffisamment compte de l'ampleur des liens de dépendance entre les diverses activités » et ne s'intéresse pas assez à la création d'une culture d'entreprise résiliente permettant de se remettre d'une interruption inattendue des activités. Les plans de continuité des activités des IFF du Canada leur ont permis de bien réagir à la crise de COVID-19; toutefois, le BSIF observe que la pandémie permet de tirer de nombreuses leçons à propos de la résilience opérationnelle.

Principes régissant le risque lié aux technologies

Actuellement, le BSIF n'appuie aucun cadre de gestion des risques précis en ce qui concerne les systèmes de gestion des technologies de l'information et des communications (les « TIC »). Le document de travail et le processus de consultation publique aideront le BSIF à établir si d'autres consignes réglementaires pourraient accroître la résilience des IFF face au risque et, dans l'affirmative, la forme que devraient prendre ces consignes.

Dans le document de travail, le BSIF réitère sa préférence générale pour une approche fondée sur des principes, mais il se réserve le droit d'autoriser l'adoption de règles normatives lorsqu'une situation précise comportant des risques l'exige. En ce qui concerne les risques liés aux technologies, le BSIF repère trois « axes prioritaires » – la cybersécurité, l'analytique avancée et l'écosystème de tiers (notamment l'impartition) – qui comprennent chacun trois « principes de base ».

Cybersécurité

Les principes de base de la cybersécurité sont les principes « CID » : confidentialité, intégrité et disponibilité.

Même si ses « Conseils sur l'auto-évaluation en matière de cybersécurité » de 2013 continuent de s'appliquer, le BSIF a l'intention de les compléter par d'autres outils de surveillance qui donnent suite aux faits nouveaux fréquents dans ce domaine, notamment :

  • La série de bulletins de renseignements, publiée depuis août 2019 et qui offre une analyse des menaces récemment détectées;
  • La série de bulletins sur le risque lié aux technologies, publiée plusieurs fois par an et consacrée aux sujets portant sur les technologies qui intéressent les IFF et leurs équipes de gestion du risque.

D'autres initiatives ont notamment visé une plus grande collaboration entre le BSIF et d'autres organismes de réglementation et la « préparation à l'informatique quantique », c.-à.-d. la préparation contre des cyberattaques plus puissantes qui pourraient être lancées au moyen de la nouvelle génération d'ordinateurs quantiques.

Analytique avancée

Les principes de base de l'analytique avancée sont la solidité, l'explicabilité et la responsabilité.

L'analytique avancée, qui comprend l'intelligence artificielle (l'« IA ») et l'apprentissage automatique (l'« AA »), crée des occasions et des risques pour les IFF. Le principal risque cerné dans le document de travail et décrit par le BSIF est le risque lié aux « modèles reposant sur l'IA et l'AA » – essentiellement, le risque qui découle de l'application d'une modélisation erronée en lien avec la prise de décision. Ce type de risque n'est actuellement pas traité par le BSIF dans un document distinct.

Outre qu'il s'est penché sur les initiatives prises dans d'autres territoires, dernièrement, le BSIF a sondé les IFF sur leur utilisation de l'IA et de l'AA en vue de générer des modèles. Ce processus a permis de cerner un certain nombre de risques connexes, notamment :

  • La gouvernance, la qualité et la sécurité des données, ainsi que les biais et la protection de la vie privée en lien avec les données;
  • Les risques d'atteinte à la réputation, les risques opérationnels et les risques liés à la cybersécurité et aux tiers.

Pour donner suite au sondage, le BSIF envisage la manière d'intégrer le mieux possible les principes de solidité, d'explicabilité et de responsabilité du modèle à ses consignes réglementaires existantes. Des consignes bonifiées pourraient traiter de la gouvernance des données, de l'élaboration et de la validation d'un modèle, de l'auditabilité et de l'équité/de la non-discrimination, entre autres questions.

Écosystème de tiers/impartition

Les principes de base liés à l'écosystème de tiers sont latransparence, la fiabilité et la substituabilité.

Comme il est mentionné dans le document de travail, les activités de la plupart des IFF font l'objet d'ententes d'impartition et d'ententes similaires conclues avec les fournisseurs de services tiers et dépendent de telles ententes. Dans sa ligne directrice B-10, le BSIF établit ses attentes en ce qui concerne l'impartition par les IFF. Même si bon nombre des principes de la Ligne directrice B-10 demeurent valables, son texte a été mis à jour pour la dernière fois en 2009 et le BSIF prévoit en conséquence un processus de consultation à propos de possibles changements. Les enjeux étudiés porteront notamment sur :

  • l'infonuagique;
  • l'adoption de l'infonuagique et la gestion du risque connexe;
  • les questions stratégiques d'ordre plus général concernant les fournisseurs de services infonuagiques (les « FSI ») en position dominante.

En règle générale, les questions d'infonuagique qui préoccupent le plus le BSIF sont la gestion de la migration, l'établissement de contrats juridiques, la mauvaise compréhension des risques et des menaces, la trop forte dépendance envers les FSI et (plus largement) l'influence considérable des FSI en position dominante, même à l'égard d'entités aussi importantes que les principales banques canadiennes.

En outre, le BSIF surveille les relations entre les IFF et les entreprises de technologie financière. Les dernières modifications législatives ont accordé plus de latitude aux IFF dans ce domaine; c'est un fait nouveau qui, dans le document de travail, est reconnu comme créant à la fois des occasions et des risques (essentiellement des risques liés à la cybersécurité et à la gestion des données).

Données numériques

Finalement, le BSIF mentionne l'importance de tenir à jour le cadre réglementaire canadien et de l'adapter aux nouveaux défis liés à la gestion des données. Les données se déplacent désormais à une vitesse et sur une échelle qui étaient auparavant inimaginables, ce qui soulève non seulement des préoccupations liées à la cybersécurité, mais engendre aussi des risques plus subtils liés aux difficultés d'agréger les expositions au risque pour reconnaître les concentrations de risque dans l'ensemble des entités.

Les autres faits nouveaux dont le document de travail fait mention sont le lancement, en mai 2019, de la Charte numérique du Canada et la proposition concurrente du gouvernement fédéral de modifier la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), afin d'accroître le contrôle exercé par les Canadiens sur leurs renseignements personnels. Ces initiatives portent à croire que la collecte et la gestion des données du consommateur soulèveront des questions de conformité de plus en plus importantes pour les IFF à l'avenir.

À l'avenir : participer au processus

Le document de travail comprend 18 questions auxquelles les parties prenantes sont invitées à répondre. Voici quelques-unes de ces questions :

  • Quels facteurs influent sur le degré d'exposition aux pertes financières pouvant découler du risque lié aux technologies? (Question 3)
  • Que pensez-vous de la définition et de la portée du risque lié aux technologies proposées par le BSIF? (Question 4)
  • Outre les considérations relatives à la cybersécurité, comment l'informatique quantique devrait-elle être gérée, en tant que risque émergent, dans le contexte de la gestion du cycle de vie des technologies au sens plus large? (Question 8)
  • Les principes de gestion du risque lié aux tiers dans le domaine de la technologie proposés tiennent-ils adéquatement compte des risques actuels et émergents? Quels autres principes proposeriez-vous? (Question 13)
  • Pensez-vous qu'il est justifié d'émettre d'autres consignes réglementaires visant spécifiquement la gestion du risque lié à l'infonuagique? Dans l'affirmative, sur quels éléments celles-ci devraient-elles porter? (Question 15)

La date limite pour faire parvenir les réponses a été fixée au 15 décembre 2020.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.