L’organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a publié, le 14 novembre 2019, l’avis 19-0194 (l’«Avis») qui modifie les Règles des courtiers membres.
Selon l’Avis, les courtiers membres doivent signaler à l’OCRCVM tout incident de cybersécurité. Ce signalement doit être fait dans les 3 jours de la découverte de l’incident.
Dans les 30 jours de la découverte de l’incident, les courtiers membres devront transmettre à l’OCRCVM un rapport d’enquête sur l’incident.
Le signalement dans les 3 jours de la découverte de l’incident de cybersécurité vise à fournir une évaluation préliminaire de base de celui-ci, selon la meilleure information dont le courtier dispose. Ce signalement couvrira les éléments suivants :
description de l’incident ;
date et période de l’incident ;
date de sa découverte ;
évaluation provisoire des risques sur les activités du courtier ainsi que du préjudice que risque de causer l’incident à une personne ;
description des mesures d’intervention immédiates prises par le courtier ;
coordonnées de la personne qui peut répondre aux questions de l’OCRCVM.
Quant au rapport qui sera transmis dans les 30 jours de l’incident de cybersécurité, il sera détaillé et fera suite à une enquête approfondie menée sur l’incident.
Ce rapport détaillé inclura tous les renseignements pertinents et traitera, entre autres, de la portée, de la nature, de l’étendue et des causes de l’incident. Il examinera les mesures prises par le courtier pour réagir à l’incident et reprendre ses activités.
Le contenu minimal du rapport, qui doit être transmis à l’OCRCVM dans les 30 jours, se retrouve à l’avis 19-0195 de l’OCRCVM, intitulé «Foire aux questions – Signalement obligatoire des incidents de cybersécurité».
Afin d’être prêt et en mesure de répondre adéquatement à un incident de cybersécurité, il serait prudent que le courtier ait un plan de gestion de ce genre d’incident. Ce plan devrait inclure, entre autres, les différents avis à donner, les délais à respecter, les mesures à prendre pour atténuer les risques et le préjudice, de même que les diverses obligations du courtier en matière d’incident de cybersécurité.FI
*associée chez McCarthy Tétrault S.E.N.C.R.L., s.r.l. Le présent article ne constitue pas un avis juridique.