Toujours dans l’optique de mieux protéger les consommateurs, l’Autorité ontarienne de réglementation des services financiers (ARSF) s’attaque concrètement aux risques préjudiciables liés aux TI, comme les cybermenaces, et publie la version définitive de sa ligne directrice sur la gestion des risques liés aux technologies de l’information (TI).
Cette version finale, qui est le fruit des modifications apportées au projet initial après les commentaires recueillis entre le 23 janvier et le 31 mars 2023, devrait aider les personnes et secteurs réglementés par l’ARSF à mieux gérer les menaces liées aux TI pour leurs systèmes, leur infrastructure et leurs données informatiques.
Dans celle-ci on retrouve notamment sept pratiques pour une gestion efficace des risques liés aux TI; un processus pour avertir l’ARSF en cas d’incident ainsi que des exigences sectorielles visant les caisses, les compagnies d’assurances constituées en Ontario et les assureurs réciproques ainsi que les administrateurs de régimes de retraite.
Parmi les changements apportés par rapport à la ligne directrice initiale, on notera :
- une modification de la date d’entrée en vigueur : celle-ci a été repoussée à avril 2024 (au lieu de juin 2023);
- une mise à jour dur délai de signalement d’un incident : il est maintenant demandé de rapporter l’incident « dès que possible, généralement dans un délai de 48 à 72 heures »;
- et davantage de souplesse dans la façon d’informer l’ARSF d’un incident important, notamment au moyen d’un portail sécurisé.
À noter que malgré ces lignes directrices, les entités réglementées sont tenues de respecter les exigences existantes concernant les risques liés aux TI et la protection des renseignements personnels, notamment les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques.