D’insister sur l’importance des cyber-risques pour les participants au marché ;
De communiquer les attentes générales en regard des participants au marché.
Les ACVM ont cru bon d’aller de l’avant, considérant qu’une cyberattaque a des répercussions importantes et qu’elle pourrait nuire à l’intégrité et à l’efficacité des marchés mondiaux, et conséquemment d’ébranler la confiance dans le système.
Les ACVM confirment que la cybersécurité fait partie de leurs priorités dans leur plan d’affaires pour 2016-2019, compte tenu du fait que le secteur des services financiers semble une cible de choix pour les cyberpirates.
Ainsi, des personnes inscrites ont fait état d’un questionnaire sur l’évaluation des risques envoyé en mai 2016 afin de recueillir des données fondamentales sur les pratiques et les programmes de formation.
Il est question également de la mise sur pied d’un groupe de discussion composé de personnes inscrites afin qu’elles puissent échanger sur leurs préoccupations.
L’avis reconnaît l’existence de plusieurs ressources en matière de cybersécurité pour obtenir de l’information et sensibiliser les parties intéressées aux enjeux.
Ces ressources démontrent que plusieurs façons de faire peuvent être mises en avant pour assurer la cybersécurité, et que chaque organisme doit établir le tout en fonction des cadres qui lui sont propres.
Des ressources et des publications, on retient entre autres ce qui suit :
La gestion de la cybersécurité se fait au palier organisationnel. La gouvernance et l’obligation de rendre compte reviennent à la direction et au conseil d’administration ;
Les activités de cybersécurité doivent évoluer selon les principes du «préciser, protéger, détecter, intervenir et reprendre» ;
En plus d’être à jour, le personnel doit être formé par un programme rigoureux de sensibilisation à la cybersécurité ;
Il importe de gérer les cyber-risques qui découlent du recours à des fournisseurs et à des services externes ;
Le traitement dynamique et évolutif des renseignements personnels et de la reddition de comptes en regard de l’obligation de déclarer les atteintes à la cybersécurité à un organisme de réglementation ;
L’importance de la protection des programmes de cybersécurité.
Dans la prochaine étape, les ACVM indiquent qu’elles entendent tenir des tables rondes afin d’échanger sur les enjeux et sur les risques et besoins de coordination.