Marijana Jovanovic, cheffe, Développement de produit
De larges sourires doivent illuminer le visage des cybercriminels lorsqu’ils songent aux actifs et aux renseignements personnels considérables détenus par les régimes de retraite canadiens. Étant donné l’accentuation de la fréquence et de la complexité de la cybercriminalité dans un environnement qui amène les promoteurs de régime à dépendre de plus en plus d’une technologie en constante évolution pour protéger les actifs et les intérêts des participants, il n’est pas surprenant que la cybersécurité figure désormais en tête de la liste des priorités de nombreux promoteurs de régime.
Reconnaître un problème grandissant
Les chiffres en disent long. En 2022, le secteur canadien des services financiers a enregistré l’un des taux de cyberattaques les plus élevés du monde, n’ayant été devancé que par l’Amérique latine1. Le Bureau du surintendant des institutions financières témoigne de la gravité de la situation dans son Regard annuel sur le risque de 2023-20242 ; dans ce document, il classe le cyberrisque parmi les principaux facteurs de risque et fait remarquer qu’« une technologie sans cesse en évolution et une dépendance grandissante aux tiers fournisseurs de technologie a accru la surface d’attaque et le cyberrisque ».
Exercer le devoir fiduciaire du promoteur de régime
Les risques associés à la cybercriminalité sont importants : ils vont de la perte financière à l’interruption des activités, en passant par l’atteinte à la réputation et le piètre rendement des fonds. Les cybercriminels ont généralement recours aux tactiques suivantes :
- L’envoi d’un courriel hameçon qui incite un retraité à révéler par inadvertance ses données d’accès dans le cadre d’une tentative de piratage.
- L’achat de renseignements personnels par des cybervoleurs sur le Web clandestin.
- L’utilisation d’un rançongiciel à des fins d’extorsion, comme un promoteur de régime canadien en a été victime il y a plusieurs années.
Ces derniers temps, les cybercriminels ont commencé à utiliser des applications d’intelligence artificielle (IA) faisant intervenir l’hypertrucage (procédé qui repose à la fois sur l’apprentissage profond et les faux médias), ainsi que des techniques de piratage et de perçage de mots de passe assistées par l’IA pour atteindre leurs objectifs malfaisants3.
Dans cet environnement de plus en plus défavorable, les promoteurs de régime ont la responsabilité fiduciaire de mettre en œuvre un plan de cyberrésilience efficace et une méthode de gestion de crise bien définie qui traceront la voie à suivre.
Établir un bon plan de cyberrésilience
La gestion efficace du cyberrisque passe impérativement par une préparation adéquate, notamment une approche réfléchie alignée sur le cadre général de gestion des risques du régime de retraite, qui se compose de plusieurs éléments :
- Favoriser une culture axée sur la cybersécurité dans l’ensemble de l’organisation en veillant à la formation des employés sur un large éventail de sujets, comme la création de mots de passe, l’utilisation appropriée des médias sociaux et la détection des courriels suspects.
- Centraliser la gestion des logiciels afin d’éviter les attaques par rançongiciel résultant d’une fausse mise à jour de logiciel.
- Mettre en œuvre des protocoles d’authentification multifacteur pour accroître la sécurité des comptes fréquemment consultés.
- Procéder régulièrement à la sauvegarde des données afin d’accélérer la reprise des activités après une panne de système ou un vol de données.
- Examiner fréquemment le plan de cyberrésilience du promoteur de régime de retraite afin de s’assurer qu’il prend en compte le contexte actuel.
Il est également essentiel de considérer le cyberrisque comme un aspect primordial de la sélection des tiers fournisseurs de services, comme les gestionnaires de fonds et les fournisseurs de services d’actifs, deux groupes auxquels les promoteurs de régime confient de nombreux mandats en impartition. Voici d’importantes questions à poser aux tiers fournisseurs et à intégrer aux demandes de propositions :
- Les tiers fournisseurs se sont-ils dotés d’un plan de cyberrésilience prévoyant des normes comparables à celles qui s’appliquent à l’approche du promoteur de régime en ce qui concerne la protection des systèmes et des actifs des participants ?
- Ont-ils établi une politique de gestion des risques en vertu de laquelle des tests de sécurité des applications Internet doivent être effectués régulièrement ?
- Ont-ils précisé par écrit les échéanciers à respecter pour remédier aux vulnérabilités en matière de sécurité des applications?
- Ont-ils mis en place un processus bien défini visant à informer le promoteur de régime d’un cyberincident le concernant et de ses répercussions potentielles sur les participants et leurs actifs ?
- Transmettront-ils régulièrement au promoteur de régime de l’information qui lui permettra de surveiller de façon continue les capacités de gestion du cyberrisque du tiers?
Cette liste n’est certes pas exhaustive, mais chacune de ces mesures aidera le promoteur de régime à accroître la cyberrésilience de son organisation, ce qui réduira considérablement la capacité des cybercriminels à perturber ses activités.
Adapter les mesures d’intervention pour la gestion de crise
Même les protocoles de gestion du cyberrisque les plus stricts et le plus haut niveau de résilience ne peuvent prévenir toutes les cyberattaques. Les mesures d’intervention prises par le régime de retraite lors de ces attaques sont donc de la plus haute importance.
Dès qu’un incident est détecté, il est important d’agir promptement en suivant le solide cadre de gestion de crise préétabli, destiné à faciliter la reprise des activités normales aussi rapidement et sûrement que possible. Ce type de cadre couvre généralement une grande variété de scénarios et permet de répondre à quatre questions clés4 :
- Quels sont les rôles et responsabilités de l’équipe d’intervention en cas d’incident, y compris les tiers ?
- Quelles ressources seront nécessaires pour enquêter sur l’incident et maintenir les fonctions essentielles ?
- Comment et quand les membres du conseil et les fiduciaires seront-ils informés de la situation ?
- Comment et quand les organismes de réglementation, les organismes d’application de la loi, les tiers et les participants seront-ils informés de la situation et quels renseignements leur seront communiqués ?
Le plan de gestion de crise, adapté aux exigences particulières des différents scénarios de cyberincident et mis à l’épreuve régulièrement, doit fournir des précisions sur chaque étape à suivre pour gérer les incidents potentiels, depuis la détection de l’incident jusqu’à sa résolution finale.
Atténuer les risques et limiter les répercussions
Les cyberattaques représentent un risque majeur pour tous les types de régimes de retraite. Étant donné la complexité grandissante et la mutation perpétuelle des menaces, les administrateurs de régime doivent faire preuve d’une vigilance constante dans l’exercice de leurs devoirs fiduciaires et la prise de mesures visant à assurer la cyberrésilience de leur organisation. La protection des actifs et des renseignements personnels des participants est au cœur de cette responsabilité, qui comprend notamment la mise en œuvre d’une stratégie globale visant à répondre aux scénarios potentiels de cyberattaque et à en rendre compte, dans le cadre d’un plan qui a fait l’objet de nombreux tests et qui tient compte des tiers fournisseurs.
Bien qu’aucune préparation, aussi intense soit-elle, ne puisse garantir une protection complète contre les cyberattaques, l’adoption d’une approche proactive et ciblée réduira le risque inhérent et contribuera à limiter les répercussions des cyberévénements. Une telle approche procurera aux participants l’assurance que leur avenir est en bonnes mains et ôtera à ces odieux cybercriminels l’envie de sourire.
Liste de vérification pour la gestion de crise |
|
Définir les rôles et responsabilités de l’équipe d’intervention en cas d’incident |
|
Vérifier les ressources nécessaires pour enquêter sur l’incident et poursuivre les activités essentielles |
|
Déterminer le processus d’information des membres du conseil et des fiduciaires |
|
Décider de la manière d’informer les organismes de réglementation, la police, les tiers et les participants, du moment où il faut le faire et de l’information à leur communiquer. |