{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
Les institutions financières canadiennes sont soumises à une pression énorme en raison des risques émergents et changeants qui menacent de plus en plus leurs activités, leur rentabilité, la confiance de leurs parties prenantes et leur viabilité à long terme. Parmi les risques que les entreprises doivent constamment gérer, les cyberrisques – dont le piratage, les rançongiciels et la surveillance numérique – arrivent en tête de liste.
La menace ne saurait être surestimée. En effet, les risques opérationnels, réputationnels et réglementaires et les coûts associés aux cyberattaques sont tous en augmentation rapide. Dans notre sondage Global Digital Trust Insights (DTI) 2024, nous avons constaté que le coût moyen d’une violation de la cybersécurité dans le secteur des services financiers se chiffre à 5 millions de dollars – certaines violations individuelles pouvant coûter beaucoup plus cher. Dans ce contexte, de nombreuses institutions financières reconnaissent qu’elles doivent devenir encore meilleures dans la gestion des cyberattaques et l’atténuation de leurs conséquences. Selon notre sondage DTI, 43 % des entreprises considèrent l’atténuation des cyberrisques comme l’une de leurs priorités clés des 12 prochains mois.
Vu l’importance cruciale des institutions financières, les organismes de réglementation du Canada ont également accordé la priorité à la compréhension des vulnérabilités du secteur et à la résilience des institutions financières face aux cyberattaques et aux cyberperturbations. En avril 2023, le Bureau du surintendant des institutions financières (BSIF) a publié un cadre d’exécution et des lignes directrices liés au test de la cyberrésilience fondé sur le renseignement (TCFR) des institutions financières sous réglementation fédérale.
À l’heure actuelle, seuls les groupes d’assurance actifs à l’échelle internationale (GAAEI) et les banques d’importance systémique (BIS) ont l’obligation d’effectuer les évaluations du TCFR,1 mais les avantages d’un tel test pourraient s’avérer considérables pour toute institution financière. Compte tenu de la rapidité avec laquelle l’environnement des cybermenaces évolue, la plupart des institutions financières pourraient en effet bénéficier d’un test de pression pour évaluer leur exposition aux cyberrisques.
Dans cet article, nous proposons une vue d’ensemble du TCFR et de ce qu’il implique pour les institutions financières du Canada. Nous présentons également des mesures que votre institution financière peut prendre afin d’être prête et capable de tirer le maximum du TCFR au cours des années à venir.
Le cadre d’exécution et les lignes directrices du TCFR du BSIF intègrent l’utilisation de tests d’intrusion fondés sur le renseignement, dans le cadre des tests de cyberrésilience des institutions financières sous réglementation fédérale. Cette approche diffère des tests d’intrusion plus traditionnels puisqu’elle intègre les renseignements sur les menaces dans la méthodologie de tests. Elle ratisse également plus large que les tests traditionnels, car elle met l’accent sur l’identification et le test des menaces et des vulnérabilités associées à la perturbation des fonctions opérationnelles essentielles d’une institution financière.
Cela dit, l’approche du TCFR du BSIF n’est pas unique. Elle a été utilisée par les organismes de réglementation dans un certain nombre de régions, notamment dans l’Union européenne et en Australie.2 L’un des aspects centraux de cette approche réside dans l’utilisation de la méthode de l’équipe rouge, dans le cadre de laquelle un fournisseur externe (soit l’équipe rouge) est chargé d’attaquer l’institution financière comme s’il était un auteur de menace. Il tentera ainsi de s’introduire dans le réseau de l’entreprise, d’éviter la détection et d’exécuter des manœuvres invasives comme la simulation de corruption de données, la perturbation et l’exfiltration. L’équipe d’intervention de l’institution financière (soit l’équipe bleue) doit réagir à l’attaque de la même façon qu’elle le ferait pour une véritable cyberattaque.
Bien que certaines institutions financières aient déjà recours à la méthode de l’équipe rouge pour leurs tests de cyberrésilience, de nombreuses autres utilisent des approches plus structurées, comme des tests de cyberrésilience planifiés et la méthode de l’équipe violette. Dans ce dernier cas, les équipes rouge et bleue travaillent en collaboration pour tester et rehausser la cyberrésilience d’une entreprise. De telles approches peuvent être extrêmement bénéfiques, en particulier pour aider les entreprises à améliorer rapidement les compétences et les capacités de l’équipe bleue. Cependant, les tests fondés sur le renseignement permettent d’aller plus loin en intégrant des scénarios de menaces et d’attaques réalistes.
Réaliser le TCFR peut être une tâche très rébarbative. Que vous ayez l’obligation – maintenant ou dans le futur – d’effectuer des évaluations régulières du TCFR auprès du BSIF ou que vous souhaitiez utiliser le TCFR pour améliorer votre approche et vos défenses en matière de cybersécurité, vous pouvez privilégier les quatre mesures suivantes pour partir du bon pied.
Dans un premier temps, examinez le cadre d’exécution du TCFR du BSIF pour comprendre les exigences qui s’appliquent à votre entreprise. Cette étape est particulièrement importante pour les banques d’importance systémique et les groupes d’assurance actifs à l’échelle internationale, car le BSIF s’attend à ce que ces institutions effectuent une évaluation du TCFR au moins une fois au cours de chaque cycle de surveillance triennal.
Si votre entreprise n’est pas expressément tenue de respecter le cadre du BSIF à l’heure actuelle, réfléchissez à la manière dont vous pourriez l’utiliser pour développer une approche plus robuste et plus proactive pour tester votre cyberrésilience.
Évaluez votre processus de cybersécurité actuel, vos fonctions opérationnelles essentielles, vos technologies, vos méthodes d’équipe (soit celles de l’équipe rouge, de l’équipe bleue ou de l’équipe violette) et vos tests de résilience par rapport au cadre d’exécution et aux lignes directrices du TCFR du BSIF. Ciblez les forces, les faiblesses, les opportunités et les lacunes dont vous devrez tenir compte pour utiliser le cadre d’exécution et l’approche de l’équipe rouge de façon efficace.
Dans le cadre de ce processus, il pourrait s’avérer utile de réfléchir à la façon de combler l’écart entre votre situation actuelle et celle que vous devez atteindre. Par exemple, plutôt que de passer directement à la méthode de l’équipe rouge, il pourrait être plus avantageux d’utiliser d’abord celle de l’équipe violette pour bâtir et améliorer vos capacités internes avec l’aide d’un fournisseur externe. Par exemple, vous pourriez commencer par des simulations plus limitées, puis migrer vers des simulations plus complexes imitant plus fidèlement les tactiques, les techniques et les procédures (TTP) des auteurs de menaces.
Les lignes directrices du BSIF exigent que les institutions financières fassent appel à des fournisseurs externes pour les renseignements sur les menaces et la méthode de l’équipe rouge. Évaluez vos fournisseurs actuels et potentiels en fonction des besoins uniques de votre entreprise, et sélectionnez les partenaires qui satisfont à vos exigences.
Lors de la sélection du fournisseur externe de renseignements sur les menaces, tenez compte des facteurs suivants :
Lors de la sélection d’un fournisseur externe pour la méthode de l’équipe rouge, tenez compte des facteurs suivants :
Vous devez reconnaître que le TCFR n’est pas une activité ponctuelle. L’environnement des cybermenaces évolue très rapidement et votre institution financière doit être en mesure de réagir et de s’adapter en conséquence. Réfléchissez à la façon d’intégrer en continu les tests et leurs résultats afin d’améliorer continuellement votre cybersécurité et vos processus de défense.
Trop souvent, les entreprises n’envisagent de tester leurs cyberdéfenses de manière proactive et déterminée qu’après avoir été victimes d’une cyberattaque qui leur a fait constater la rapidité, la complexité et la sophistication des auteurs de menaces, ainsi que l’ampleur des dommages que les cybercriminels peuvent très vite causer.
Que votre institution financière soit tenue ou non d’effectuer une évaluation du TCFR auprès du BSIF, vous devriez réfléchir à la manière de tirer parti du cadre d’exécution du TCFR, des renseignements sur les menaces et de la méthode de l’équipe rouge pour adopter une position plus proactive face aux cyberattaques. En adoptant une approche plus réaliste du renseignement sur les menaces et des tests de cyberrésilience, et en utilisant les résultats de ces tests pour orienter vos stratégies et vos investissements en matière de cybersécurité, vous pouvez permettre à votre entreprise de se préparer à réagir le mieux possible en cas d’attaques réelles.
Si vous souhaitez en savoir davantage sur le cadre d’exécution du TCFR du BSIF et la façon de vous préparer aux futurs tests du TCFR, ou si vous voulez discuter de la manière d’utiliser ce cadre pour élever vos tests de cyberrésilience à un niveau supérieur, communiquez avec nous.
Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 687 9139
Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada
Tél. : +1 416 815 5306