Renforcer la résilience et les cyberdéfenses des institutions financières grâce au cadre TCFR du BSIF | PwC Canada

Renforcer la résilience et les cyberdéfenses des institutions financières grâce au cadre TCFR du BSIF | PwC Canada Skip to content Skip to footer Tendances et perspectives Services Industries À propos de nous Carrières More

Recherche Menu

Tendances et perspectives Tendances et perspectives IA, technologie et données Réinvention du modèle d’affaires Cybersécurité Climat et Durabilité Risque et Conformité Centre de ressources Tarifs et politiques commerciales Confiance à l’ère de l’IA Main-d’œuvre Menu

Tendances et perspectives IA, technologie et données Menu

Tendances et perspectives Réinvention du modèle d’affaires Menu

Tendances et perspectives Cybersécurité Menu

Tendances et perspectives Climat et Durabilité Menu

Tendances et perspectives Risque et Conformité Menu

Tendances et perspectives Centre de ressources Tarifs et politiques commerciales Menu

Tendances et perspectives Confiance à l’ère de l’IA Menu

Tendances et perspectives Main-d’œuvre

À ne pas manquer

Enquête auprès des PDG : Perspectives sur les préoccupations des PDG canadiens Director connect : Les dernières nouvelles pour les conseils d’administration Balado Shift : Perspectives d’experts de l’industrie Menu

Services Services Intelligence artificielle et technologie Alliances Services d'audit et de certification Durabilité Conseils Gestion de crise et résilience Mandats d'insolvabilité en cours Données et analytique Transactions Services de juricomptabilité Services gérés PwC Privé Services liés au risque Services fiscaux Transformation Services de confiance Menu

Services Intelligence artificielle et technologie Menu

Services Alliances Menu

Services Services d'audit et de certification Menu

Services Durabilité Menu

Services Conseils Menu

Services Gestion de crise et résilience Menu

Services Mandats d'insolvabilité en cours Menu

Services Données et analytique Menu

Services Transactions Menu

Services Services de juricomptabilité Menu

Services Services gérés Menu

Services PwC Privé Menu

Services Services liés au risque Menu

Services Services fiscaux Menu

Services Transformation Menu

Services Services de confiance

À ne pas manquer

Passez à l’action, avec PwC Services gérés Notre écosystème d’alliances Menu

Industries Industries Gestion d’actifs et de patrimoine Secteur de l’automobile Banques et marchés financiers Marchés de consommation Énergie Divertissement et médias Services gouvernementaux et services publics Soins de santé Secteur de la fabrication industrielle Assurance Secteur minier Énergie et services publics Investissement privé et fonds de pension Secteur de l’immobilier Technologie Télécommunications Transport et logistique Menu

Industries Gestion d’actifs et de patrimoine Menu

Industries Secteur de l’automobile Menu

Industries Banques et marchés financiers Menu

Industries Marchés de consommation Menu

Industries Énergie Menu

Industries Divertissement et médias Menu

Industries Services gouvernementaux et services publics Menu

Industries Soins de santé Menu

Industries Secteur de la fabrication industrielle Menu

Industries Assurance Menu

Industries Secteur minier Menu

Industries Énergie et services publics Menu

Industries Investissement privé et fonds de pension Menu

Industries Secteur de l’immobilier Menu

Industries Technologie Menu

Industries Télécommunications Menu

Industries Transport et logistique

À ne pas manquer

Voice of the Consumer 2025 – Perspective canadienne Nouvelles tendances dans le marché immobilier canadien en 2026 L’avenir de la défense et l’approvisionnement Menu

À propos de nous À propos de nous Alumni de PwC Canada Conseil d'administration Responsabilité d’entreprise Diversité, équité, inclusion et appartenance Éthique et code de conduite Notre histoire Notre équipe de direction canadienne Nouveaux associés Nos gens Notre mission, notre vision et nos valeurs Menu

À propos de nous Alumni de PwC Canada Menu

À propos de nous Conseil d'administration Menu

À propos de nous Responsabilité d’entreprise Menu

À propos de nous Diversité, équité, inclusion et appartenance Menu

À propos de nous Éthique et code de conduite Menu

À propos de nous Notre histoire Menu

À propos de nous Notre équipe de direction canadienne Menu

À propos de nous Nouveaux associés Menu

À propos de nous Nos gens Menu

À propos de nous Notre mission, notre vision et nos valeurs

À ne pas manquer

Notre engagement envers la vérité et la réconciliation Programme Femmes et leadership Menu

Carrières Carrières Le Professionnel PwC Avantages sociaux, flexibilité et bien-être Bourses d’études et mentorat Notre réseau d’Alumni Début de carrière Postes à pourvoir Demandes d’emploi Soutien dans le parcours CPA Talents en début de carrière Professionnels Postes à pourvoir Demandes d’emploi Femmes en technologie Communauté de professionnels Menu

Carrières Le Professionnel PwC Menu

Carrières Avantages sociaux, flexibilité et bien-être Menu

Carrières Bourses d’études et mentorat Menu

Carrières Notre réseau d’Alumni Menu

Carrières Début de carrière Menu

Carrières Postes à pourvoir Menu

Carrières Demandes d’emploi Menu

Carrières Soutien dans le parcours CPA Menu

Carrières Talents en début de carrière Menu

Carrières Professionnels Menu

Carrières Postes à pourvoir Menu

Carrières Demandes d’emploi Menu

Carrières Femmes en technologie Menu

Carrières Communauté de professionnels

À ne pas manquer

Gens de PwC Recrutement universitaire à venir Loading Results

No Match Found

View All Results Renforcer la résilience et les cyberdéfenses des institutions financières grâce au cadre TCFR du BSIF Copy link Lien copié

Joanna Lewis Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada 12 décembre, 2023

Les institutions financières canadiennes sont soumises à une pression énorme en raison des risques émergents et changeants qui menacent de plus en plus leurs activités, leur rentabilité, la confiance de leurs parties prenantes et leur viabilité à long terme. Parmi les risques que les entreprises doivent constamment gérer, les cyberrisques – dont le piratage, les rançongiciels et la surveillance numérique – arrivent en tête de liste.

La menace ne saurait être surestimée. En effet, les risques opérationnels, réputationnels et réglementaires et les coûts associés aux cyberattaques sont tous en augmentation rapide. Dans notre sondage Global Digital Trust Insights (DTI) 2024, nous avons constaté que le coût moyen d’une violation de la cybersécurité dans le secteur des services financiers se chiffre à 5 millions de dollars – certaines violations individuelles pouvant coûter beaucoup plus cher. Dans ce contexte, de nombreuses institutions financières reconnaissent qu’elles doivent devenir encore meilleures dans la gestion des cyberattaques et l’atténuation de leurs conséquences. Selon notre sondage DTI, 43 % des entreprises considèrent l’atténuation des cyberrisques comme l’une de leurs priorités clés des 12 prochains mois.

Vu l’importance cruciale des institutions financières, les organismes de réglementation du Canada ont également accordé la priorité à la compréhension des vulnérabilités du secteur et à la résilience des institutions financières face aux cyberattaques et aux cyberperturbations. En avril 2023, le Bureau du surintendant des institutions financières (BSIF) a publié un cadre d’exécution et des lignes directrices liés au test de la cyberrésilience fondé sur le renseignement (TCFR) des institutions financières sous réglementation fédérale.

À l’heure actuelle, seuls les groupes d’assurance actifs à l’échelle internationale (GAAEI) et les banques d’importance systémique (BIS) ont l’obligation d’effectuer les évaluations du TCFR,1 mais les avantages d’un tel test pourraient s’avérer considérables pour toute institution financière. Compte tenu de la rapidité avec laquelle l’environnement des cybermenaces évolue, la plupart des institutions financières pourraient en effet bénéficier d’un test de pression pour évaluer leur exposition aux cyberrisques.

Dans cet article, nous proposons une vue d’ensemble du TCFR et de ce qu’il implique pour les institutions financières du Canada. Nous présentons également des mesures que votre institution financière peut prendre afin d’être prête et capable de tirer le maximum du TCFR au cours des années à venir.

Cadre d’exécution du TCFR du BSIF : ce que les institutions financières doivent savoir Le cadre d’exécution et les lignes directrices du TCFR du BSIF intègrent l’utilisation de tests d’intrusion fondés sur le renseignement, dans le cadre des tests de cyberrésilience des institutions financières sous réglementation fédérale. Cette approche diffère des tests d’intrusion plus traditionnels puisqu’elle intègre les renseignements sur les menaces dans la méthodologie de tests. Elle ratisse également plus large que les tests traditionnels, car elle met l’accent sur l’identification et le test des menaces et des vulnérabilités associées à la perturbation des fonctions opérationnelles essentielles d’une institution financière. 

Cela dit, l’approche du TCFR du BSIF n’est pas unique. Elle a été utilisée par les organismes de réglementation dans un certain nombre de régions, notamment dans l’Union européenne et en Australie.2 L’un des aspects centraux de cette approche réside dans l’utilisation de la méthode de l’équipe rouge, dans le cadre de laquelle un fournisseur externe (soit l’équipe rouge) est chargé d’attaquer l’institution financière comme s’il était un auteur de menace. Il tentera ainsi de s’introduire dans le réseau de l’entreprise, d’éviter la détection et d’exécuter des manœuvres invasives comme la simulation de corruption de données, la perturbation et l’exfiltration. L’équipe d’intervention de l’institution financière (soit l’équipe bleue) doit réagir à l’attaque de la même façon qu’elle le ferait pour une véritable cyberattaque.

Élever vos tests de cyberrésilience à un niveau supérieur Bien que certaines institutions financières aient déjà recours à la méthode de l’équipe rouge pour leurs tests de cyberrésilience, de nombreuses autres utilisent des approches plus structurées, comme des tests de cyberrésilience planifiés et la méthode de l’équipe violette. Dans ce dernier cas, les équipes rouge et bleue travaillent en collaboration pour tester et rehausser la cyberrésilience d’une entreprise. De telles approches peuvent être extrêmement bénéfiques, en particulier pour aider les entreprises à améliorer rapidement les compétences et les capacités de l’équipe bleue. Cependant, les tests fondés sur le renseignement permettent d’aller plus loin en intégrant des scénarios de menaces et d’attaques réalistes. 

Les quatre mesures à envisager pour tirer le maximum du cadre d’exécution du TCFR du BSIF  Réaliser le TCFR peut être une tâche très rébarbative. Que vous ayez l’obligation – maintenant ou dans le futur – d’effectuer des évaluations régulières du TCFR auprès du BSIF ou que vous souhaitiez utiliser le TCFR pour améliorer votre approche et vos défenses en matière de cybersécurité, vous pouvez privilégier les quatre mesures suivantes pour partir du bon pied. 

1. Évaluez le cadre d’exécution du TCFR du BSIF et la façon dont il s’applique à votre entreprise Dans un premier temps, examinez le cadre d’exécution du TCFR du BSIF pour comprendre les exigences qui s’appliquent à votre entreprise. Cette étape est particulièrement importante pour les banques d’importance systémique et les groupes d’assurance actifs à l’échelle internationale, car le BSIF s’attend à ce que ces institutions effectuent une évaluation du TCFR au moins une fois au cours de chaque cycle de surveillance triennal.

Si votre entreprise n’est pas expressément tenue de respecter le cadre du BSIF à l’heure actuelle, réfléchissez à la manière dont vous pourriez l’utiliser pour développer une approche plus robuste et plus proactive pour tester votre cyberrésilience. 

Votre entreprise est-elle tenue d’entreprendre des évaluations du TCFR auprès du BSIF et le cas échéant, quand devrez-vous commencer? Quels éléments du cadre d’exécution et des lignes directrices du BSIF pouvez-vous utiliser pour améliorer votre cyberrésilience? Comment pouvez-vous collaborer avec les parties prenantes (p. ex. le BSIF, vos conseillers externes actuels en cybersécurité) pour tirer le maximum du cadre d’exécution du TCFR? 2. Évaluez vos processus de cybersécurité actuels et votre préparation au TCFR, et cernez vos lacunes Évaluez votre processus de cybersécurité actuel, vos fonctions opérationnelles essentielles, vos technologies, vos méthodes d’équipe (soit celles de l’équipe rouge, de l’équipe bleue ou de l’équipe violette) et vos tests de résilience par rapport au cadre d’exécution et aux lignes directrices du TCFR du BSIF. Ciblez les forces, les faiblesses, les opportunités et les lacunes dont vous devrez tenir compte pour utiliser le cadre d’exécution et l’approche de l’équipe rouge de façon efficace.

Dans le cadre de ce processus, il pourrait s’avérer utile de réfléchir à la façon de combler l’écart entre votre situation actuelle et celle que vous devez atteindre. Par exemple, plutôt que de passer directement à la méthode de l’équipe rouge, il pourrait être plus avantageux d’utiliser d’abord celle de l’équipe violette pour bâtir et améliorer vos capacités internes avec l’aide d’un fournisseur externe. Par exemple, vous pourriez commencer par des simulations plus limitées, puis migrer vers des simulations plus complexes imitant plus fidèlement les tactiques, les techniques et les procédures (TTP) des auteurs de menaces.

En quoi votre approche actuelle des tests de résilience cadre-t-elle avec le cadre d’exécution et les lignes directrices du BSIF?  Quelles sont les lacunes que vous devez combler pour utiliser le cadre de façon plus efficace? Comment pouvez-vous vous préparer à tirer parti de la méthode de l’équipe rouge du BSIF, par exemple en évaluant et en atténuant les risques associés à l’exercice pour vous assurer qu’il est mené de manière contrôlée? Comment pouvez-vous tirer profit de l’expérience de tiers pour améliorer les compétences de votre équipe bleue avant les tests basés sur la méthode de l’équipe rouge? 3. Sélectionnez vos fournisseurs pour les renseignements sur les menaces et la méthode de l’équipe rouge Les lignes directrices du BSIF exigent que les institutions financières fassent appel à des fournisseurs externes pour les renseignements sur les menaces et la méthode de l’équipe rouge. Évaluez vos fournisseurs actuels et potentiels en fonction des besoins uniques de votre entreprise, et sélectionnez les partenaires qui satisfont à vos exigences.

Lors de la sélection du fournisseur externe de renseignements sur les menaces, tenez compte des facteurs suivants :

L’étendue des renseignements et la portée géographique afin de comprendre les signaux de menace à l’échelle mondiale. L’intention derrière les attaques possibles étant variable (p. ex. espionnage, cyberactivisme, sabotage, crime), la compréhension de celle-ci de la part du fournisseur permettra d’orienter sa stratégie de test L’utilisation de diverses techniques, comme l’analyse par groupe, pour détecter les signes avant-coureurs L’accès à des renseignements de sources fermées ou non publiques (CSINT), à des partenariats et à des renseignements de sources ouvertes (OSINT) La compréhension des risques propres aux caractéristiques de votre entreprise (comme l’étendue géographique, la clientèle, les produits et services, l’infrastructure technologique) pour mettre en contexte les renseignements La capacité d’identifier et de surveiller les renseignements provenant de différentes sources (p. ex., Web caché, OSINT, plateformes de renseignements sur les menaces, rapports sur les vulnérabilités critiques et élevées émergentes, surveillance des médias sociaux, surveillance des fuites de données d’accès, surveillance des domaines malveillants dans l’infrastructure, alertes de sécurité d’un fournisseur clé et recherche sur les menaces émergentes), et à réagir rapidement à ceux-ci Lors de la sélection d’un fournisseur externe pour la méthode de l’équipe rouge, tenez compte des facteurs suivants :

L’étendue de son expérience de travail avec des entreprises comme la vôtre (p. ex. mondiale, régionale ou locale) Sa capacité à transformer les renseignements sur les menaces en simulations d’attaques personnalisées et pertinentes Sa capacité à tirer parti des différentes méthodes d’équipe (p. ex. la méthode de l’équipe violette) pour s’assurer que votre entreprise est prête pour la méthode de l’équipe rouge Son expérience dans la réalisation de tests selon la méthode de l’équipe rouge sur des entreprises, y compris le dépôt d’une évaluation post-test, d’idées et de recommandations réalisables Son utilisation d’outils adaptatifs et d’accélérateurs, et son alignement sur des cadres comme le MITRE Attack 4. Effectuez régulièrement des tests afin que votre entreprise adapte ses mesures d’intervention en fonction de l’évolution des menaces  Vous devez reconnaître que le TCFR n’est pas une activité ponctuelle. L’environnement des cybermenaces évolue très rapidement et votre institution financière doit être en mesure de réagir et de s’adapter en conséquence. Réfléchissez à la façon d’intégrer en continu les tests et leurs résultats afin d’améliorer continuellement votre cybersécurité et vos processus de défense.

Comment arriverez-vous à faire en sorte que votre approche de tests de résilience demeure pertinente même si les cybermenaces et les méthodes d’attaque changent? Comment allez-vous tester et améliorer les capacités de votre équipe d’intervention afin qu’elle soit en bonne position pour réagir aux menaces futures? Agissez de façon proactive. Soyez prêts Trop souvent, les entreprises n’envisagent de tester leurs cyberdéfenses de manière proactive et déterminée qu’après avoir été victimes d’une cyberattaque qui leur a fait constater la rapidité, la complexité et la sophistication des auteurs de menaces, ainsi que l’ampleur des dommages que les cybercriminels peuvent très vite causer.

Que votre institution financière soit tenue ou non d’effectuer une évaluation du TCFR auprès du BSIF, vous devriez réfléchir à la manière de tirer parti du cadre d’exécution du TCFR, des renseignements sur les menaces et de la méthode de l’équipe rouge pour adopter une position plus proactive face aux cyberattaques. En adoptant une approche plus réaliste du renseignement sur les menaces et des tests de cyberrésilience, et en utilisant les résultats de ces tests pour orienter vos stratégies et vos investissements en matière de cybersécurité, vous pouvez permettre à votre entreprise de se préparer à réagir le mieux possible en cas d’attaques réelles.

En savoir plus Si vous souhaitez en savoir davantage sur le cadre d’exécution du TCFR du BSIF et la façon de vous préparer aux futurs tests du TCFR, ou si vous voulez discuter de la manière d’utiliser ce cadre pour élever vos tests de cyberrésilience à un niveau supérieur, communiquez avec nous.

1. https://www.osfi-bsif.gc.ca/Eng/osfi-bsif/med/Pages/nr20230421.aspx

2. https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html;
 https://www.cfr.gov.au/publications/policy-statements-and-other-reports/2022/revised-corie-framework- rollout/pdf/corie-framework.pdf (PDF)

{{filterContent.facetedTitle}} {{contentList.loadingText}} {{item.videoDuration}} {{item.publishDate}} {{item.title}} {{item.text}} {{item.videoDuration}} {{item.publishDate}} {{item.title}} {{item.text}} {{contentList.loadingText}} 0)"> 0" class="btn btn--transparent collection__load-more" ng-click="contentList.loadMoreLocal()" ng-class="{primary: (!contentList.useInfiniteScroll && contentList.moreResultsLink) || (contentList.useInfiniteScroll && contentList.moreResultsLink && !contentList.hasNextLocal)}">{{contentList.loadMoreLabel}} {{contentList.viewAllLabel}} Suivre PwC Canada Contactez-nous

Joanna Lewis

Associée, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 687 9139

Courriel

Naren Kalyanaraman

Associé et leader national, Cybersécurité, protection des renseignements personnels et lutte contre la criminalité financière, PwC Canada

Tél. : +1 416 815 5306

Courriel Contactez-nous Masquer Contactez-nous Nos bureaux au Canada Centre de presse L’approvisionnement chez PwC Plan du site © 2018 - 2026 PwC. Tous droits réservés. PwC s’entend du réseau PwC et/ou d’une ou de plusieurs sociétés membres, chacune étant une entité distincte sur le plan juridique. Pour de plus amples renseignements, visitez notre site Web à l’adresse : http://pwc.zhutiblog.com/com/structure. (en anglais seulement)

Protection des renseignements confidentiels Information relative aux témoins Réserve juridique Conditions générales du Site Internet À propos du fournisseur de ce site Accessibilité