Renforcer la résilience et les cyberdéfenses des institutions financières grâce au cadre TCFR du BSIF

Joanna Lewis Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada 12 décembre, 2023

Les institutions financières canadiennes sont soumises à une pression énorme en raison des risques émergents et changeants qui menacent de plus en plus leurs activités, leur rentabilité, la confiance de leurs parties prenantes et leur viabilité à long terme. Parmi les risques que les entreprises doivent constamment gérer, les cyberrisques – dont le piratage, les rançongiciels et la surveillance numérique – arrivent en tête de liste.

La menace ne saurait être surestimée. En effet, les risques opérationnels, réputationnels et réglementaires et les coûts associés aux cyberattaques sont tous en augmentation rapide. Dans notre sondage Global Digital Trust Insights (DTI) 2024 , nous avons constaté que le coût moyen d’une violation de la cybersécurité dans le secteur des services financiers se chiffre à 5 millions de dollars – certaines violations individuelles pouvant coûter beaucoup plus cher. Dans ce contexte, de nombreuses institutions financières reconnaissent qu’elles doivent devenir encore meilleures dans la gestion des cyberattaques et l’atténuation de leurs conséquences. Selon notre sondage DTI, 43 % des entreprises considèrent l’atténuation des cyberrisques comme l’une de leurs priorités clés des 12 prochains mois.

Vu l’importance cruciale des institutions financières, les organismes de réglementation du Canada ont également accordé la priorité à la compréhension des vulnérabilités du secteur et à la résilience des institutions financières face aux cyberattaques et aux cyberperturbations. En avril 2023, le Bureau du surintendant des institutions financières (BSIF) a publié un cadre d’exécution et des lignes directrices liés au test de la cyberrésilience fondé sur le renseignement (TCFR) des institutions financières sous réglementation fédérale.

À l’heure actuelle, seuls les groupes d’assurance actifs à l’échelle internationale (GAAEI) et les banques d’importance systémique (BIS) ont l’obligation d’effectuer les évaluations du TCFR,¹ mais les avantages d’un tel test pourraient s’avérer considérables pour toute institution financière. Compte tenu de la rapidité avec laquelle l’environnement des cybermenaces évolue, la plupart des institutions financières pourraient en effet bénéficier d’un test de pression pour évaluer leur exposition aux cyberrisques.

Dans cet article, nous proposons une vue d’ensemble du TCFR et de ce qu’il implique pour les institutions financières du Canada. Nous présentons également des mesures que votre institution financière peut prendre afin d’être prête et capable de tirer le maximum du TCFR au cours des années à venir.

Cadre d’exécution du TCFR du BSIF : ce que les institutions financières doivent savoir

Le cadre d’exécution et les lignes directrices du TCFR du BSIF intègrent l’utilisation de tests d’intrusion fondés sur le renseignement, dans le cadre des tests de cyberrésilience des institutions financières sous réglementation fédérale. Cette approche diffère des tests d’intrusion plus traditionnels puisqu’elle intègre les renseignements sur les menaces dans la méthodologie de tests. Elle ratisse également plus large que les tests traditionnels, car elle met l’accent sur l’identification et le test des menaces et des vulnérabilités associées à la perturbation des fonctions opérationnelles essentielles d’une institution financière.

Cela dit, l’approche du TCFR du BSIF n’est pas unique. Elle a été utilisée par les organismes de réglementation dans un certain nombre de régions, notamment dans l’Union européenne et en Australie.² L’un des aspects centraux de cette approche réside dans l’utilisation de la méthode de l’équipe rouge, dans le cadre de laquelle un fournisseur externe (soit l’équipe rouge) est chargé d’attaquer l’institution financière comme s’il était un auteur de menace. Il tentera ainsi de s’introduire dans le réseau de l’entreprise, d’éviter la détection et d’exécuter des manœuvres invasives comme la simulation de corruption de données, la perturbation et l’exfiltration. L’équipe d’intervention de l’institution financière (soit l’équipe bleue) doit réagir à l’attaque de la même façon qu’elle le ferait pour une véritable cyberattaque.

Élever vos tests de cyberrésilience à un niveau supérieur

Bien que certaines institutions financières aient déjà recours à la méthode de l’équipe rouge pour leurs tests de cyberrésilience, de nombreuses autres utilisent des approches plus structurées, comme des tests de cyberrésilience planifiés et la méthode de l’équipe violette. Dans ce dernier cas, les équipes rouge et bleue travaillent en collaboration pour tester et rehausser la cyberrésilience d’une entreprise. De telles approches peuvent être extrêmement bénéfiques, en particulier pour aider les entreprises à améliorer rapidement les compétences et les capacités de l’équipe bleue. Cependant, les tests fondés sur le renseignement permettent d’aller plus loin en intégrant des scénarios de menaces et d’attaques réalistes.

Les quatre mesures à envisager pour tirer le maximum du cadre d’exécution du TCFR du BSIF

Réaliser le TCFR peut être une tâche très rébarbative. Que vous ayez l’obligation – maintenant ou dans le futur – d’effectuer des évaluations régulières du TCFR auprès du BSIF ou que vous souhaitiez utiliser le TCFR pour améliorer votre approche et vos défenses en matière de cybersécurité, vous pouvez privilégier les quatre mesures suivantes pour partir du bon pied.

1. Évaluez le cadre d’exécution du TCFR du BSIF et la façon dont il s’applique à votre entreprise

Dans un premier temps, examinez le cadre d’exécution du TCFR du BSIF pour comprendre les exigences qui s’appliquent à votre entreprise. Cette étape est particulièrement importante pour les banques d’importance systémique et les groupes d’assurance actifs à l’échelle internationale, car le BSIF s’attend à ce que ces institutions effectuent une évaluation du TCFR au moins une fois au cours de chaque cycle de surveillance triennal.

Si votre entreprise n’est pas expressément tenue de respecter le cadre du BSIF à l’heure actuelle, réfléchissez à la manière dont vous pourriez l’utiliser pour développer une approche plus robuste et plus proactive pour tester votre cyberrésilience.

Votre entreprise est-elle tenue d’entreprendre des évaluations du TCFR auprès du BSIF et le cas échéant, quand devrez-vous commencer?
Quels éléments du cadre d’exécution et des lignes directrices du BSIF pouvez-vous utiliser pour améliorer votre cyberrésilience?
Comment pouvez-vous collaborer avec les parties prenantes (p. ex. le BSIF, vos conseillers externes actuels en cybersécurité) pour tirer le maximum du cadre d’exécution du TCFR?

2. Évaluez vos processus de cybersécurité actuels et votre préparation au TCFR, et cernez vos lacunes

Évaluez votre processus de cybersécurité actuel, vos fonctions opérationnelles essentielles, vos technologies, vos méthodes d’équipe (soit celles de l’équipe rouge, de l’équipe bleue ou de l’équipe violette) et vos tests de résilience par rapport au cadre d’exécution et aux lignes directrices du TCFR du BSIF. Ciblez les forces, les faiblesses, les opportunités et les lacunes dont vous devrez tenir compte pour utiliser le cadre d’exécution et l’approche de l’équipe rouge de façon efficace.

Dans le cadre de ce processus, il pourrait s’avérer utile de réfléchir à la façon de combler l’écart entre votre situation actuelle et celle que vous devez atteindre. Par exemple, plutôt que de passer directement à la méthode de l’équipe rouge, il pourrait être plus avantageux d’utiliser d’abord celle de l’équipe violette pour bâtir et améliorer vos capacités internes avec l’aide d’un fournisseur externe. Par exemple, vous pourriez commencer par des simulations plus limitées, puis migrer vers des simulations plus complexes imitant plus fidèlement les tactiques, les techniques et les procédures (TTP) des auteurs de menaces.

En quoi votre approche actuelle des tests de résilience cadre-t-elle avec le cadre d’exécution et les lignes directrices du BSIF?
Quelles sont les lacunes que vous devez combler pour utiliser le cadre de façon plus efficace?
Comment pouvez-vous vous préparer à tirer parti de la méthode de l’équipe rouge du BSIF, par exemple en évaluant et en atténuant les risques associés à l’exercice pour vous assurer qu’il est mené de manière contrôlée?
Comment pouvez-vous tirer profit de l’expérience de tiers pour améliorer les compétences de votre équipe bleue avant les tests basés sur la méthode de l’équipe rouge?

3. Sélectionnez vos fournisseurs pour les renseignements sur les menaces et la méthode de l’équipe rouge

Les lignes directrices du BSIF exigent que les institutions financières fassent appel à des fournisseurs externes pour les renseignements sur les menaces et la méthode de l’équipe rouge. Évaluez vos fournisseurs actuels et potentiels en fonction des besoins uniques de votre entreprise, et sélectionnez les partenaires qui satisfont à vos exigences.

Lors de la sélection du fournisseur externe de renseignements sur les menaces, tenez compte des facteurs suivants :

L’étendue des renseignements et la portée géographique afin de comprendre les signaux de menace à l’échelle mondiale. L’intention derrière les attaques possibles étant variable (p. ex. espionnage, cyberactivisme, sabotage, crime), la compréhension de celle-ci de la part du fournisseur permettra d’orienter sa stratégie de test
L’utilisation de diverses techniques, comme l’analyse par groupe, pour détecter les signes avant-coureurs
L’accès à des renseignements de sources fermées ou non publiques (CSINT), à des partenariats et à des renseignements de sources ouvertes (OSINT)
La compréhension des risques propres aux caractéristiques de votre entreprise (comme l’étendue géographique, la clientèle, les produits et services, l’infrastructure technologique) pour mettre en contexte les renseignements
La capacité d’identifier et de surveiller les renseignements provenant de différentes sources (p. ex., Web caché, OSINT, plateformes de renseignements sur les menaces, rapports sur les vulnérabilités critiques et élevées émergentes, surveillance des médias sociaux, surveillance des fuites de données d’accès, surveillance des domaines malveillants dans l’infrastructure, alertes de sécurité d’un fournisseur clé et recherche sur les menaces émergentes), et à réagir rapidement à ceux-ci

Lors de la sélection d’un fournisseur externe pour la méthode de l’équipe rouge, tenez compte des facteurs suivants :

L’étendue de son expérience de travail avec des entreprises comme la vôtre (p. ex. mondiale, régionale ou locale)
Sa capacité à transformer les renseignements sur les menaces en simulations d’attaques personnalisées et pertinentes
Sa capacité à tirer parti des différentes méthodes d’équipe (p. ex. la méthode de l’équipe violette) pour s’assurer que votre entreprise est prête pour la méthode de l’équipe rouge
Son expérience dans la réalisation de tests selon la méthode de l’équipe rouge sur des entreprises, y compris le dépôt d’une évaluation post-test, d’idées et de recommandations réalisables
Son utilisation d’outils adaptatifs et d’accélérateurs, et son alignement sur des cadres comme le MITRE Attack

4. Effectuez régulièrement des tests afin que votre entreprise adapte ses mesures d’intervention en fonction de l’évolution des menaces

Vous devez reconnaître que le TCFR n’est pas une activité ponctuelle. L’environnement des cybermenaces évolue très rapidement et votre institution financière doit être en mesure de réagir et de s’adapter en conséquence. Réfléchissez à la façon d’intégrer en continu les tests et leurs résultats afin d’améliorer continuellement votre cybersécurité et vos processus de défense.

Comment arriverez-vous à faire en sorte que votre approche de tests de résilience demeure pertinente même si les cybermenaces et les méthodes d’attaque changent?
Comment allez-vous tester et améliorer les capacités de votre équipe d’intervention afin qu’elle soit en bonne position pour réagir aux menaces futures?

Agissez de façon proactive. Soyez prêts

Trop souvent, les entreprises n’envisagent de tester leurs cyberdéfenses de manière proactive et déterminée qu’après avoir été victimes d’une cyberattaque qui leur a fait constater la rapidité, la complexité et la sophistication des auteurs de menaces, ainsi que l’ampleur des dommages que les cybercriminels peuvent très vite causer.

Que votre institution financière soit tenue ou non d’effectuer une évaluation du TCFR auprès du BSIF, vous devriez réfléchir à la manière de tirer parti du cadre d’exécution du TCFR, des renseignements sur les menaces et de la méthode de l’équipe rouge pour adopter une position plus proactive face aux cyberattaques. En adoptant une approche plus réaliste du renseignement sur les menaces et des tests de cyberrésilience, et en utilisant les résultats de ces tests pour orienter vos stratégies et vos investissements en matière de cybersécurité, vous pouvez permettre à votre entreprise de se préparer à réagir le mieux possible en cas d’attaques réelles.

En savoir plus

Si vous souhaitez en savoir davantage sur le cadre d’exécution du TCFR du BSIF et la façon de vous préparer aux futurs tests du TCFR, ou si vous voulez discuter de la manière d’utiliser ce cadre pour élever vos tests de cyberrésilience à un niveau supérieur, communiquez avec nous.

^{1. https://www.osfi-bsif.gc.ca/Eng/osfi-bsif/med/Pages/nr20230421.aspx}

^{2. https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html;

https://www.cfr.gov.au/publications/policy-statements-and-other-reports/2022/revised-corie-framework- rollout/pdf/corie-framework.pdf (PDF)}

Suivre PwC Canada

Contactez-nous

Joanna Lewis

Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 687 9139

Courriel

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306