Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

PROJET PROJET LIGNE DIRECTRICE SUR LA GESTION DES RISQUES LIÉS AUX TECHNOLOGIES

PROJET PROJET LIGNE DIRECTRICE SUR LA GESTION DES RISQUES LIÉS AUX TECHNOLOGIES DE L’INFORMATION ET DES COMMUNICATIONS Juin 2019 PROJET TABLE DES MATIÈRES Préambule .................................................................................................................... 2 Champ d’application ................................................................................................... 3 Prise d’effet et processus de mise à jour .................................................................. 4 Introduction ................................................................................................................. 5 1. Le cadre de gouvernance des technologies de l’information et des communications ................................................................................................. 6 1.1 Compétences .............................................................................................. 7 1.2 Rôles et responsabilités .............................................................................. 8 1.3 Rôles des lignes de défense ..................................................................... 11 1.4 Structures de gouvernance des TIC .......................................................... 12 1.5 Préceptes et propriétés du cadre de gouvernance des TIC ....................... 14 1.6 Documentation de l’environnement des TIC .............................................. 17 1.7 Information pour la prise de décision ......................................................... 18 2. L’identification et la gestion des risques liés aux technologies ................... 20 2.1 Les types de risques liés aux technologies ............................................... 20 2.2 Tolérance pour le risque TIC ..................................................................... 22 2.3 Attributs du cadre de gestion des risques liés aux technologies ................ 22 2.4 L’agrégation des risques liés aux technologies ......................................... 26 2.5 L’impact d’affaires des risques liés aux technologies ................................ 26 3. Les pratiques de gestion des risques liés aux technologies ........................ 27 3.1 Les pratiques d’identification ..................................................................... 27 3.2 Les pratiques de protection ....................................................................... 28 3.3 Les pratiques de détection ........................................................................ 28 3.4 Les pratiques de réponse et de recouvrement en cas d’incident ............... 29 3.5 Autres pratiques ........................................................................................ 29 4. Surveillance des pratiques de gestion saine et prudente ............................. 35 PROJET Ligne directrice sur la gestion des risques liés aux technologies 2 de l’information et des communications Autorité des marchés financiers Juin 2019 Préambule La présente ligne directrice est une indication des attentes de l’Autorité des marchés financiers (l’« Autorité ») à l’égard de l’obligation légale des institutions financières de suivre des pratiques de gestion saine et prudente. Elle porte donc sur l’interprétation, l’exécution et l’application de cette obligation imposée aux institutions financières. Dans cette optique, l’Autorité privilégie une approche basée sur des principes plutôt que d’édicter des règles précises. Ainsi, du fondement même d’une ligne directrice, l’Autorité confère aux institutions financières la latitude nécessaire leur permettant de déterminer elles-mêmes les stratégies, politiques et procédures pour la mise en œuvre de ces principes de saine gestion et de voir à leur application en regard de la nature, de la taille, de la complexité de leurs activités et de leur profil de risque. À cet égard, la ligne directrice illustre des façons de se conformer aux principes énoncés. Note de l’Autorité L’Autorité considère la gouvernance, la gestion intégrée des risques et la conformité (GRC) comme les assises sur lesquelles doivent reposer la gestion saine et prudente et les saines pratiques commerciales d’une institution financière et conséquemment, les bases sur lesquelles l’encadrement prudentiel donné par l’Autorité s’appuie. La présente ligne directrice s’inscrit dans cette perspective et énonce les attentes de l’Autorité à l’égard des pratiques en matière de gestion des risques liés aux technologies de l’information et des communications (TIC). PROJET Ligne directrice sur la gestion des risques liés aux technologies 3 de l’information et des communications Autorité des marchés financiers Juin 2019 Champ d’application La présente ligne directrice s’applique aux assureurs de personnes, aux assureurs de dommages, aux sociétés de gestion de portefeuille contrôlées par un assureur, aux coopératives de services financiers, aux sociétés de fiducie et aux sociétés d’épargne régis par les lois suivantes : • Loi sur les assurances, RLRQ, c. A-321; • Loi sur les coopératives de services financiers, RLRQ, c. 67.32; • Loi sur les sociétés de fiducie et les sociétés d’épargne, RLRQ, c. S-29.013. Enfin, cette ligne directrice s’applique tant à l’institution financière qui opère de façon autonome qu’à celle qui est membre d’un groupe financier. Dans le cas des coopératives de services financiers et des sociétés mutuelles d’assurance membres d’une fédération, les normes ou politiques adoptées à leur intention par la fédération doivent être cohérentes, voire convergentes, avec les principes de gestion saine et prudente tel qu’il est précisé dans la présente ligne directrice. 1 Art. 325.0.1 et 325.0.2 al.1, par. 3º et al. 2 de la Loi sur les assurances. 2 Art. 565.1 et 566 de la Loi sur les coopératives de services financiers. 3 Art. 314.1 al.1, par. 3º et al. 2 de la Loi sur les sociétés de fiducie et les sociétés d’épargne. PROJET Ligne directrice sur la gestion des risques liés aux technologies 4 de l’information et des communications Autorité des marchés financiers Juin 2019 Prise d’effet et processus de mise à jour La Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications est effective à compter du 1er juin 2019. En regard de l’obligation légale des institutions de suivre des pratiques de gestion saine et prudente, l’Autorité s’attend à ce que chaque institution se soit approprié les principes de cette ligne directrice en élaborant des stratégies, politiques et procédures adaptées à sa nature, sa taille, la complexité de ses activités et son profil de risque. L’Autorité s’attend à ce que l’institution financière s'approprie les attentes de la présente ligne directrice et qu’elle les mette en œuvre d’ici le 1er juin 2020. Dans la mesure où une institution a déjà mis en place un tel encadrement, l’Autorité pourra en vérifier la conformité avec les exigences prescrites par la loi. Cette ligne directrice sera actualisée en fonction des développements en matière de gestion du risque des technologies de l’information et des communications et à la lumière des constats effectués dans le cadre des travaux de surveillance menés auprès des institutions financières visées. PROJET Ligne directrice sur la gestion des risques liés aux technologies 5 de l’information et des communications Autorité des marchés financiers Juin 2019 Introduction La progression rapide des innovations technologiques a contribué à transformer les processus et les modèles d’affaires des institutions financières. Ces innovations ont, par contre, introduit des risques significatifs à une époque où les institutions deviennent de plus en plus interconnectées et dépendantes de systèmes hérités4 et de fournisseurs externes pour mener à bien leurs activités. L’adoption des innovations technologiques a aussi accentué les risques de perte, de vol, de corruption et d’accès non autorisé aux données. En outre, les institutions sont davantage exposées aux risques de cyberattaques qui sont de plus en plus sophistiquées, fréquentes, ciblées et difficiles à détecter. Les cyberrisques peuvent avoir des conséquences défavorables significatives qui ne devraient pas être sous-estimées, tant au niveau financier et légal que sur les clients et la réputation de l’institution. Dans ce contexte, la gestion des risques liés aux TIC5 devrait être complète, robuste et devrait alimenter les disciplines clés telles que la planification stratégique, l’infogérance, la gestion du changement, la sécurité de l’information (incluant la cybersécurité), la continuité des activités et la gestion des données. Cette ligne directrice expose les attentes de l’Autorité à l’égard de la gestion des risques liés aux TIC. Elle présente la position de l’Autorité, qui évoluera au fur et à mesure que les connaissances de ces sujets se préciseront à travers les activités de supervision et le développement des encadrements internationaux. Il est important de noter que cette ligne directrice ne prétend pas couvrir tous les aspects de la gestion des risques liés aux TIC. Elle met plutôt l’accent sur les éléments que l’Autorité a jugé pertinents au moment de sa rédaction. Il est de la responsabilité de l’institution de bien comprendre les risques auxquels elle est confrontée et de s’assurer qu’ils soient pris en compte adéquatement en fonction de sa nature, de sa taille, de la complexité de ses activités et de son profil de risque. 4 Un système hérité, patrimonial ou legacy system en anglais, est un matériel et/ou logiciel continuant d’être utilisé dans une organisation, alors qu’il est supplanté par des systèmes plus modernes. Il fait partie d’un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information. 5 L’Autorité définit le risque TIC comme étant le risque d’affaires lié à l’utilisation, la propriété, l’opération et l’adoption des TIC. Ce risque comprend notamment les risques de disponibilité et de continuité, de sécurité (incluant la cybersécurité), de changement, d’intégrité des données et d’infogérance. PROJET Ligne directrice sur la gestion des risques liés aux technologies 6 de l’information et des communications Autorité des marchés financiers Juin 2019 1. Le cadre de gouvernance des technologies de l’information et des communications L’Autorité s’attend à ce que l’institution financière identifie, évalue, contrôle, atténue et suive en continu les risques liés aux TIC. Elle devrait établir et maintenir une stratégie et un cadre de gestion spécifique à ces risques qui soient adéquatement développés à partir de sources, de recommandations et de normes reconnues. En sus des attentes générales formulées par l’Autorité dans la Ligne directrice sur la gouvernance, l’Autorité précise ci-après ses attentes en matière de gouvernance liée aux TIC. Le conseil d’administration6 doit s’assurer de l’établissement et du maintien d’un cadre de gouvernance des TIC ainsi que d’une définition claire des rôles et responsabilités nécessaires à l’atteinte des objectifs de l’institution en la matière. À cet effet, il devrait notamment : • s’assurer d’échanger continuellement avec les parties uploads/Management/ projet-ligne-directrice-gestion-risques-ti-communications-fr.pdf