Les institutions financières des États-Unis connaissent bien les cyberrisques liés à leurs activités. Cependant, elles doivent maintenant composer avec un nombre croissant de risques de non-conformité réglementaire dans le domaine de la cybersécurité. Le chevauchement et le resserrement de la réglementation de la Securities and Exchange Commission* (SEC), de la Financial Industry Regulatory Authority* (FINRA) et de la Commodity Futures Trading Commission* (CFTC) portant sur les questions de cybersécurité témoignent de la direction adoptée par les organismes de réglementation américains.
Cette tendance s’est confirmée en septembre dernier lorsqu’une société américaine de conseils en placement a été accusée par la SEC* d’une violation de son obligation à adopter des politiques et des procédures adéquates de cybersécurité ayant mené à une intrusion. Cette cause est un indice probant de l’importance qu’accorde la SEC à la cybersécurité, et la plupart des professionnels de la conformité s’attendent à ce que les organismes appliquent les règles avec une rigueur accrue cette année.
Domaines ciblés
Les exigences chevauchantes de la SEC* et de la FINRA* en matière de cybersécurité ciblent les domaines ci-dessous.
- Gouvernance et évaluation des risques
- Droits d’accès, contrôles et confidentialité
- Prévention de la perte de données
- Gestion des fournisseurs
- Formation
- Interventions en cas d’incident
- Contrôles techniques et accessibilité au système de négociation des valeurs mobilières
L’approche de la CFTC en matière de cybersécurité est notable, puisqu’il s’agit de la première tentative d’atténuer les cyberrisques par la mise en place de réglementations. La CFTC a adopté des réglementations régissant les types suivants de tests de sécurité.
- Évaluation des vulnérabilités
- Tests d’intrusion
- Test des contrôles
- Mise à l’essai du plan d’intervention en cas d’incident de sécurité
- Évaluation des risques liés aux technologies d’entreprise
Bien que les exemples cités concernent les États-Unis, la tendance de resserrement de la réglementation en vue d’atténuer les cyberrisques peut également être observée au sein d’autres pays.
Mesures à prendre
Dans ce contexte, on conseille aux institutions financières d’élaborer un programme continu de cybersécurité répondant aux attentes des organismes de réglementation. Bien qu’il n’existe pas encore de normes claires auxquelles se conformer, les actions entreprises par les organismes de réglementation comme leurs communications justifient la mise en place d’un plan assurant à la fois l’efficacité opérationnelle et la conformité réglementaire.
Dans cette optique, le cadre de gestion de la cybersécurité* du National Institute of Standards and Technology (NIST) fournit une base solide pour aider les entreprises à évaluer leur propre situation de cybersécurité. Le cadre de gestion du NIST reflète les recommandations de centaines d’organisations commerciales et gouvernementales. Il présente les meilleures pratiques, la terminologie, les stratégies, les principes et les technologies en matière de sécurité et de protection de la vie privée au sein des systèmes d’information.
Après des années de mises à l’essai, les institutions financières accordent une certaine confiance à leurs employés et sont d’avis qu’ils sauront comment réagir en cas de catastrophe. Mais à quel point êtes-vous convaincu des capacités de vos employés à gérer une brèche de cybersécurité? Votre organisation est-elle prête à se conformer au nombre croissant de réglementations à venir dans ce domaine?
CGI possède une expertise spécialisée à la fois dans les domaines des services financiers et de la cybersécurité. Nous offrons des services-conseils à des institutions financières du monde entier afin de les aider à se protéger efficacement contre les menaces de cybersécurité, à se conformer à la réglementation et à élaborer des programmes rigoureux de cybersécurité. À titre de partenaire de confiance de l’Association canadienne des paiements (ACP), par exemple, CGI participe au transfert sécuritaire quotidien de plus de 170 milliards de dollars au moyen des systèmes de l’ACP. Par ailleurs, les compagnies d’assurance font de plus en plus appel à nous pour les aider à gérer les cyberrisques qui guettent leurs souscripteurs. Communiquez avec nous pour en savoir davantage sur la tendance de resserrement de la réglementation en matière de cybersécurité ainsi que pour découvrir comment nous pouvons vous aider à vous y conformer.
*en anglais