Les institutions financières auront l’obligation d’aviser l’Autorité des marchés financiers (AMF) de tout incident lié à la sécurité de l’information, conformément au nouveau Règlement sur la gestion et le signalement des incidents de sécurité de l’information de certaines institutions financières et des agents d’évaluation du crédit.
Ce règlement impose notamment la tenue d’un registre des incidents, la conservation des renseignements pertinents, ainsi que des sanctions administratives pécuniaires en cas de non-respect.
Les institutions concernées disposeront d’un délai de 24 heures pour aviser l’AMF après que la haute direction aura été informée de l’incident. Elles devront également tenir l’AMF au courant de l’évolution de la situation et lui fournir un rapport d’incident.
Le règlement s’applique aux catégories d’entreprises suivantes:
- les assureurs et fédérations de sociétés mutuelles autorisés par la Loi sur les assureurs ;
- les fédérations et les caisses non affiliées à une fédération régie par la Loi sur les coopératives de services financiers;
- les institutions de dépôts couvertes par la Loi sur les institutions de dépôts et la protection des dépôts;
- les sociétés de fiducie réglementées par la Loi sur les sociétés de fiducie et les sociétés d’épargne;
- et les agents d’évaluation du crédit désignés en vertu de la Loi sur les agents d’évaluation du crédit.
Selon Patrick Déry, surintendant des institutions financières, ce règlement vise à assurer des pratiques exemplaires en matière de gestion et de signalement des incidents de sécurité de l’information. Cette exigence devrait permettre aux institutions de réagir plus efficacement aux incidents susceptibles d’affecter leur réputation, leur stabilité financière ou leur solvabilité.
Un formulaire de signalement et un guide explicatif seront mis à la disposition des entreprises visées pour faciliter leur conformité avec ces nouvelles exigences.