Les administrateurs de régimes de retraite et leurs fournisseurs de services dépendent de plus en plus de la technologie pour la gestion de leur actif et pour la collecte de données personnelles et confidentielles, ce qui en fait des cibles possibles de cyberattaques.
Le 29 novembre 2022, l’ARSF a présenté le webinaire sur la cybersécurité et les régimes de retraite, qui visait à faciliter la compréhension des points suivants au sein du secteur :
- les pratiques de cybersécurité actuelles dans le secteur des régimes de retraite;
- les suggestions et les stratégies pour protéger l’actif et les données des régimes contre les cyberattaques;
- les mesures à prendre en cas d’attaque.
Plus de 280 personnes ont assisté au webinaire et ont ainsi pu poser des questions directement à notre équipe de l’ARSF.
Webinaire sur la cybersécurité
Date : le 29 novembre 2022
Présentateurs : Caroline Blouin, David Bartucci, Ted Harman et Ryan Wilson
Caroline Blouin
00:02 Bonjour. Bienvenue à toutes et à tous. Je me présente : Je suis Caroline Blouin, la vice-présidente directrice des régimes de retraite à l’ARSF. Quel plaisir de vous voir en si grand nombre aujourd’hui. On en est rendu à 175. C’est formidable. Je suis ravie de vous accueillir pour inaugurer ce webinaire aujourd’hui. Avant toute chose, j’aimerais vous inviter à consacrer un moment à la reconnaissance et à la gratitude envers la terre sur laquelle nous nous trouvons aujourd’hui et envers toutes les personnes ayant vécu et vivant ici. Nous respectons le fait que cette terre correspond au territoire traditionnel de nombreuses nations, notamment les Mississaugas de la Credit, les Anishinaabek, les Chippaouais, les Haudenosaunee et les Wendats. Aujourd’hui, elle est le lieu de résidence de nombreux peuples divers, tant des Premières Nations que des Inuits et des Métis. Nous reconnaissons que Toronto est couverte par le Traité n° 13 avec les Mississaugas de la Credit, et par les traités Williams signés avec de nombreuses bandes de Mississauga et de Chippaouais. Aujourd’hui, elle est le lieu de résidence de nombreux peuples divers, tant des Premières nations que des Inuits et des Métis.
Caroline Blouin
01:42 Permettez-moi de parcourir quelques éléments de gestion interne. Aujourd’hui, c’est la plateforme de réunions en direct MS Teams que nous utilisons. L’audio et la vidéo ont été désactivés pour les participants. Merci de soumettre vos questions en vous servant de l’icône Q&R dans le coin supérieur droit de votre écran. Nous aborderons vos questions à la fin de la présentation. Toutefois, si nous ne répondons pas à votre question aujourd’hui, ne vous inquiétez pas. D’ici quelques semaines, nous afficherons les réponses sur notre site web. Vous serez averti par courriel dès que la réponse aura été publiée. En dernier lieu, le webinaire d’aujourd’hui est enregistré. L’enregistrement, la transcription et les diapositives seront téléversés sur le site web dans les prochaines semaines. La prochaine diapositive, SVP. La séance d’aujourd’hui couvre la cybersécurité. Pour vous situer, nous avons publié cet été un sondage auprès d’un échantillon représentatif des régimes que nous supervisons. Pour vous situer dans le contexte, nous avons publié cet été une enquête d’attitudes auprès d’un échantillon représentatif des régimes que nous supervisons. Nous apprécions grandement vos réflexions. La présentation d’aujourd'hui vous permettra d’entendre certaines des principales conclusions de cette enquête. Deux experts en cybersécurité vous exposeront les meilleures pratiques actuelles en matière de cybersécurité, les moyens de protéger les actifs de votre régime de retraite et les données des participants, ainsi que les mesures à prendre en cas de cyberattaque.
Caroline Blouin
03:32 Je suis heureuse de vous annoncer la présence de nos experts présents aujourd'hui, en commençant par mon collègue David Bartucci, responsable des relations avec les intervenants du secteur des régimes de retraite et des projets ponctuels, suivi de Ted Harman, président d’Accent Insurance Solutions, et de Ryan Wilson, partenaire en matière de cybersécurité chez Ernst & Young au Canada. Mille fois merci à vous trois d’avoir accepté d’animer le webinaire d’aujourd'hui. Je suis convaincue que votre présence nous permettra de tirer de nombreux enseignements. La prochaine diapositive. Le monde numérique actuel, comme vous le savez, connaît des cybermenaces réelles et en constante évolution. Aussi, il est primordial de comprendre les vulnérabilités cybernétiques pour assurer la sécurité des actifs de votre régime de retraite et protéger les bénéficiaires de ce régime. L’ARSF coopère avec l’ACOR pour établir des lignes directrices en matière de cybersécurité destinées à aider les administrateurs de régimes. David vous en dira plus sur cette initiative aujourd’hui. Par ailleurs, nous savons que les administrateurs de régimes de retraite et les fournisseurs de services tiers contrôlent d’importantes sommes d’actifs financiers ainsi que des données personnelles et confidentielles, ce qui constitue des cibles particulièrement attrayantes pour les cyberattaques et la fraude. Il nous parlera de son expérience, en tant que cible d’une cyberattaque, et enfin, Ryan nous fera part de ses réflexions sur la façon dont nous devrions aborder les cyber-risques et les menaces et sur les pratiques de pointe en matière de gestion des risques liés à la cybersécurité. Je crois que vous trouverez le webinaire d’aujourd’hui très instructif. Je cède donc la parole à Ted pour qu’il nous fasse part de son expérience et de ses réflexions.
Ted Harman
05:49 Bon après-midi à toutes et à tous. Soyez les bienvenus. Je profite de l’occasion pour remercier Caroline et son équipe exceptionnelle de m’avoir invité à vous parler aujourd’hui. Je constate, dans ma pratique de courtier d’assurance, une augmentation alarmante de la fraude par ingénierie sociale, c’est-à-dire une fraude perpétrée sur une personne dans une entreprise qui est incitée à agir selon les instructions d’un criminel en croyant que ce dernier est en réalité une autre personne de confiance de laquelle vous accepteriez normalement des instructions. Le cas illustré sur la diapositive, Future Electronics contre Chubb, est un cas où des employés de Future Electronics ont été persuadés de modifier les informations ou les instructions de transfert électronique de fonds pour régler le compte d’un fournisseur. Le montant du préjudice dans cette affaire était de 2,7 millions de dollars. Le montant assuré n’était que de 50 000 $. Le reste n’a jamais été récupéré. Vous vous demanderez donc peut-être quelle est la différence entre la fraude par ingénierie sociale et la fraude informatique, couverte par la plupart des polices d’assurance contre le crime. Effectivement, dans le cas de Future Electronics, la police d’assurance contre le crime avait une limite de 25 millions de dollars, si bien que l’on s’attendrait normalement à ce que les 2,7 millions de dollars perdus soient récupérables. La fraude informatique consiste à exploiter les faiblesses techniques de votre système informatique. Voilà pourquoi vous payez beaucoup d’argent à ces spécialistes en TI pour qu’ils puissent s’en occuper pour vous, et dont Ryan vous parlera un peu plus tard. Mais la fraude par ingénierie sociale profite des faiblesses des êtres humains. Notre tendance naturelle à faire confiance aux gens est une faiblesse que les fraudeurs utilisent à leur avantage et le plus souvent à votre détriment.
Ted Harman
07:28 Nous comptons plusieurs clients qui ont été victimes de ce qui, pour eux, était des fonds importants [inaudible] et qui n’ont pas été récupérés. Dernièrement, nous avons eu un client qui a perdu plus d’un demi-million de dollars dans un système de transfert de fonds au cours duquel les fraudeurs ont pu intercepter et modifier les instructions financières. Ce client n’était pas assuré pour ledit montant puisqu’il avait choisi de ne pas conclure une assurance contre la fraude par ingénierie sociale Le contrôle des instructions modifiées que vous recevez doit être vérifié par plusieurs sources différentes. Par conséquent, dans l’affaire Future Electronics, la société a perdu 2,7 millions de dollars principalement parce qu’un employé a accepté des instructions par courriel et a suivi des instructions données par courriel. Il convient de vérifier par de multiples et différents moyens, notamment par la voix, et invariablement, je vous suggère de vérifier directement auprès de la banque à laquelle vous allez envoyer des fonds que le compte est bien enregistré au nom de la personne ou de l’entité à laquelle vous pensez envoyer les fonds. Je vous conseille également de vérifier votre couverture et de vous assurer que vous disposez d’une couverture spécifique contre la fraude par ingénierie sociale couvrant vos principaux transferts de fonds électroniques tout au long de l’année. En cas de fraude par ingénierie sociale, il s’agit souvent d’une couverture distincte, vendue séparément. Je tiens à vous rappeler qu’il serait prudent de votre part d’envisager de souscrire une couverture beaucoup plus importante que la limite standard incluse dans votre police d’assurance contre le crime de base.
Ted Harman
09:10 Tout récemment, en passant à la diapositive suivante, j’ai été personnellement impliqué dans une tentative de cyberextorsion. Et j’ai réalisé qu’à l’écran –l’écriture était plutôt petite– mais ce que vous allez trouver, c’est que j’avais reçu un courriel de moi-même. Quand vous recevez un courriel de vous-même que vous savez ne pas avoir envoyé, vous vous inquiétez un peu. Alors, j’ai contacté l’équipe de sécurité de mon fournisseur informatique. Cette enquête a permis de découvrir que le criminel avait réussi à falsifier les informations relatives à ma messagerie pour faire croire qu’il avait le contrôle de mon compte. Et si vous lisez le courriel, vous constaterez que l’on essaie de me faire croire que mon compte est bel et bien contrôlé. L’équipe de sécurité a été capable de m’assurer qu’il n’y avait pas eu d’intrusion. J’ai supprimé le courriel parce que l’une des choses que ces personnes font, c’est de suggérer qu’elles ont des enregistrements de vous, qu’elles ont surveillé votre comportement pendant un certain nombre de semaines ou de mois, et qu’elles vont exposer toutes les choses qu’elles ont pu capturer de votre système pendant qu’elles étaient en arrière-plan. La bonne pratique consiste donc à contacter votre équipe de cybersécurité et à lui demander de procéder à une analyse détaillée de ce qui s’est passé. En ce qui me concerne, il s’agissait simplement d’une tentative d’extorsion. Toutefois, si vous effectuez une recherche sur Google pour trouver le portefeuille Bitcoin qui figurait dans le courriel, vous constaterez que ce portefeuille spécifique a été utilisé dans un certain nombre de tentatives de fraude en Amérique du Nord.
Ted Harman
10:58 Aujourd’hui, je voudrais vous dire qu’il est important d’adopter des comportements responsables lorsqu’on est en ligne. Dans tout système, le maillon le plus faible reste l’être humain qui interagit avec ce système. Une authentication multifactorielle, des connexions obligatoires et sécurisées au portail pour les personnes travaillant à distance, des exigences de changement régulier de mot de passe, des exigences de complexité de mot de passe, tout cela contribue à rendre votre environnement en ligne sécurisé. Et pas question d’utiliser le nom de votre animal de compagnie, ni d’ajouter 123 à la fin, ce qui ne constitue pas un mot de passe efficace. Vous trouverez également des ressources, que David, de Chubb Insurance, l’un des principaux assureurs canadiens opérant sur le marché de la cyberassurance, mettra à votre disposition, et j’espère que vous saurez les apprécier. Enfin, si vous avez des questions, vous pouvez toujours m’en faire part. De plus, David a mes coordonnées. Merci beaucoup de m’avoir reçu, David. Je vous redonne la parole.
David Bartucci
11:53 Je vous remercie beaucoup, Ted, d’avoir partagé votre expérience et votre expertise avec nos participants aujourd’hui. Je tiens à aborder deux sujets dans les minutes qui suivent. Tout d’abord, nous partageons avec vous certaines des principales conclusions de l’enquête CyberPulse menée il y a quelques mois. Ensuite, il s’agit de mettre en évidence certains des principaux aspects à retenir de certaines orientations sur lesquelles nous avons travaillé avec nos collègues membres de l’ACOR. Voici donc les résultats de l’enquête. En fait, nous avons partagé l’enquête avec un échantillon représentatif des régimes de retraite du secteur. Il s’agissait de régimes à prestations définies, de régimes de retraite interentreprises et de régimes à prestations déterminées. Nous avons également veillé à ce que la couverture des répondants soit bonne, quelle que soit la taille des régimes, de manière à pouvoir partager certaines conclusions permettant de déterminer, pour nous et pour vous, si les pratiques adoptées par les régimes varient selon leur taille. De plus, nous constatons que la proportionnalité est toujours une préoccupation dans les questions d’administration et de contrôle. Ces résultats sont donc regroupés en fonction des catégories de questions incluses dans les enquêtes. Le premier consiste à savoir combien de régimes sont dotés d’une politique de cybersécurité explicite et de ressources dédiées à la cybersécurité. Donc, le nombre de ressources varie considérablement de 1 à plus de 300, et la plupart ont indiqué qu’ils avaient une politique explicite en place. Nous admettons - et je suis sûr que Ryan y consacrera un peu de temps également - que de nombreux administrateurs de régimes se fient à des tiers pour la gestion de toutes ou de la plupart des parties de leur régime, et que la mise en place d’un cadre de gestion des risques liés aux tiers, traitant spécifiquement des problèmes liés au cyberespace, représente une mesure importante. Je suis heureux de dire que la plupart des répondants ont adopté un plan de gestion des risques liés aux tiers, et que ce programme est intégré à la gestion des risques liés aux fournisseurs dans de nombreux cas.
David Bartucci
14:12 La prochaine diapositive, SVP. En matière de signalement des incidents, la plupart des répondants ont adopté une politique ou un programme, et la plupart signalent les incidents, ou bien tous les signalent. La plupart des personnes interrogées y ont mûrement réfléchi et procèdent à des évaluations des risques, notamment en ce qui concerne les questions liées à la cybercriminalité. Par ailleurs, comme on pouvait le prévoir, ces régimes renferment beaucoup de données importantes, dont des données confidentielles protégées en matière de santé ou de médecine. Par conséquent, Ryan, sans doute, passera un peu de temps à parler du profil de risque et de ce qui pourrait être attrayant pour les cybercriminels. Cependant, je pense que, lorsque vous pensez aux actifs détenus par un régime et un administrateur de régime, ce ne sont pas seulement les fonds du régime de retraite, mais également les données et les données des membres du régime susceptibles d’attirer les cybercriminels. Permettez-moi de m’attarder un instant sur les contrôles humains. Ted a expliqué avec beaucoup de justesse que les humains sont en quelque sorte le maillon faible de la chaîne. Je me réjouis de pouvoir dire que la plupart des répondants ont adopté un programme de sensibilisation et que les régimes le testent.
David Bartucci
15:41 La prochaine diapositive, SVP. Voici donc quelques points à retenir que je voudrais approfondir. La plupart des répondants appliquent une politique de cybersécurité, et le nombre de ressources disponibles varie évidemment en fonction de la taille de l’organisation. Nous remarquons également que de nombreuses organisations signalent des incidents et prêtent attention à la protection des données et à d’autres contrôles de la vie privée, et qu’elles les signalent à d’autres organismes de réglementation, tant au Canada qu’à l’étranger, en Europe et dans d’autres régions où elles exercent leurs activités. À mon avis, un grand nombre de ces réponses réglementaires ont tendance à être fortement corrélées avec le secteur d’activité du promoteur du régime plutôt qu’avec le fait d’être un employeur qui possède officiellement un régime de retraite. La prochaine diapositive, SVP. Les réponses nous indiquent donc que 100 % des répondants gèrent et contrôlent les menaces pendant les heures de bureau. Mais certains répondants nous ont confié qu’ils ne surveillaient que pendant les heures de bureau, laissant ainsi un vide dont il est important que les administrateurs tiennent compte, puisque des personnes peuvent se trouver dans votre système pendant une certaine période sans que vous le sachiez. Par ailleurs, nous sommes heureux de constater que 100 % des répondants effectuent des activités postérieures à l'incident. Sur le côté droit de la diapositive, vous trouverez les cyberattaques réussies les plus courantes signalées par les répondants au cours des 12 derniers mois, notamment l’hameçonnage, la compromission des données d’identification, les attaques par déni de service et les rançongiciels, dans cet ordre. Cela correspond à certaines des idées que Ted a partagées avec nous il y a quelques instants, si je me trompe.
David Bartucci
18:02 La prochaine diapositive, SVP. Permettez-moi maintenant de vous parler de l’approche réglementaire et de ce que vous pouvez attendre de l’ARSF et des autres organismes de réglementation. La plupart d’entre vous, ou beaucoup d’entre vous, savent donc que l’ARSF est membre de l’Association canadienne des organismes de contrôle des régimes de retraite ou l’ACOR. En juin dernier, dans le cadre de son plan stratégique, l’ACOR a décidé de prioriser la gestion des risques et la cybersécurité et a publié une version préliminaire des lignes directrices en matière de cybersécurité afin de recueillir les commentaires du public. Les membres de l’ACOR sont actuellement en train d’examiner ces commentaires. Cette version préliminaire est disponible sur le site web de l’ACOR. Vous trouverez le lien sur cette diapositive. Je tenais aussi à préciser que l’ACOR a posé une question au secteur pour savoir si la mise en place d’une approche intégrée de la gestion des risques dans une ligne directrice intégrant la cybersécurité parmi d’autres risques pouvait être une bonne idée. Or, j’ai le plaisir d’annoncer que l’ACOR a reçu des commentaires favorables à ce sujet. Nous sommes donc présentement à rédiger la version préliminaire de cette recommandation de gestion intégrée des risques qui inclura, d’une manière intégrée, une section consacrée à la cybersécurité. Au printemps 2023, nous envisageons de la rendre disponible pour une consultation publique, tant la recommandation de gestion intégrée des risques que la section sur la cybersécurité.
David Bartucci
19:44 La prochaine diapositive, SVP. Toutefois, je tenais à partager avec les participants certains des concepts clés figurant dans cette version préliminaire des lignes directrices sur la cybersécurité. Mais ce que nous et l’ACOR connaissons, c'est que le risque cybernétique représente un risque majeur pour tous les régimes, indépendamment de leur taille ou de leurs caractéristiques. L’ACOR compte sur le fait que les administrateurs examinent et évaluent régulièrement ce risque pour garantir que des contrôles appropriés sont appliqués. Les administrateurs de régimes ont le devoir fiduciaire de garantir que leur régime est administré avec le soin, le devoir et la compétence d’un fiduciaire. L’ACOR fait remarquer que le risque cybernétique constitue un élément clé de la compréhension et de la gestion du risque dans votre régime et que des contrôles et une formation adaptés à ce risque doivent être instaurés. Par ailleurs, nous constatons, et j’en ai déjà parlé un peu, que de nombreux administrateurs de régimes recourent à des tiers pour la gestion de la totalité ou d’une partie de leur régime et que les rôles et les responsabilités en matière de cyberrisque et d’autres types de risques susceptibles d’être gérés par les fournisseurs de services doivent être clairement définis, répartis et maîtrisés, et qu’une attention particulière doit être accordée à la délégation d’activités à des tiers et à leurs sous-traitants. En outre, l’ACOR compte sur le fait que les administrateurs ont mis en place une stratégie pour répondre aux cyberincidents et les signaler, en fonction de leur territoire de compétence.
David Bartucci
21:44 Vous découvrirez donc, dans la nouvelle ligne directrice sur la gestion intégrée des risques, que nombre de ces concepts ont été précisés et que d’autres conseils utiles ont été donnés aux administrateurs afin qu’ils réfléchissent à la manière dont ils peuvent gérer le risque cybernétique dans leurs régimes, sans oublier, bien sûr, les autres risques qui, nous le savons, préoccupent les administrateurs. La prochaine diapositive, SVP. Et je passe la parole à Ryan maintenant. Je vous remercie pour votre temps.
Ryan Wilson
22:22 Marci, David. Bonjour à tous. Dans un premier temps, je vous présenterai ce que nous observons sur le terrain, ce qui se passe d’un point de vue cybernétique, puis nous aborderons certaines des pratiques recommandées à envisager lorsque vous commencerez à réfléchir à la forme que pourrait prendre votre programme cybernétique global et aux améliorations que vous pourriez y apporter. Pour commencer, je voudrais simplement définir les méthodes et les raisons de la cybermenace. Et, comme Caroline, Ted et David vous l’ont exposé, un grand nombre de cybercrimes perpétrés aujourd’hui sont motivés par des raisons financières. De toute évidence, en tant qu’administrateurs de régimes et détenteurs d’informations sur les pensions, vous représentez des cibles de premier plan pour les cybercriminels. Là encore, ils cherchent des cibles leur permettant essentiellement d’extorquer et de voler toute information potentielle de valeur et, en fin de compte, pour en tirer un quelconque avantage financier.
Ryan Wilson
23:29 La cyberattaque la plus prépondérante que nous voyons dans ce secteur particulier, ainsi que dans tous les secteurs aujourd'hui, est incontestablement le rançongiciel. Le nombre de rançongiciels ne cesse d’augmenter et leur évolution est particulièrement inquiétante, car les cyberattaquants deviennent de plus en plus sophistiqués. Cette menace est réelle et nous devons tous y réagir. Or, les rançongiciels ont tellement évolué que les organisations criminelles en font un service. Ainsi, à l’instar des entreprises qui achètent aujourd’hui des logiciels en tant que service, entièrement pris en charge par l’entreprise, les criminels disposent de l’équivalent des rançongiciels sous forme de service, entièrement fourni dans le nuage. Un service d’assistance et une équipe de soutien sont en place. Ils vous permettront de mettre au point une attaque par rançongiciel contre une organisation, puis d’extorquer à celle-ci un paiement, habituellement en bitcoins. En fait, ces criminels sont motivés, sophistiqués et visent des cibles précises. En règle générale, leurs cibles regroupent des entreprises dépositaires d’informations sensibles. Donc ça pourrait être des renseignements personnels identifiables. Il pourrait s’agir également d’informations sur la santé. Ou bien, évidemment, des actifs financiers qu’ils souhaitent acquérir. Là encore, il y a un certain nombre de différentes raisons qui sont en jeu aujourd’hui. Par ailleurs, les cybercriminels ciblent également les nouvelles technologies en voie d’adoption. Au moment où nous réorientons nos modèles d’entreprise, où nous favorisons l’innovation numérique et où nous nous efforçons d’offrir une meilleure expérience au client, les cybercriminels s’intéressent à ces nouvelles voies que nous ouvrons et détectent les vulnérabilités que nous avons ouvertes ou créées pour les exploiter. Il convient donc de faire en sorte, lorsque nous lançons de nouveaux services, que les aspects cybernétiques y sont intégrés et que les problèmes sont pris en compte.
Ryan Wilson
25:32 La prochaine diapositive, SVP. La sécurité doit être proportionnellement répartie, c’est l’une des choses auxquelles nous devons vraiment penser, et David en a parlé plus tôt. De toute évidence, à titre d’administrateurs de régimes de retraite, la taille et la complexité de votre entreprise varient grandement à l’heure actuelle. Par conséquent, une approche unique n’a absolument aucun sens ici. Vous devrez donc vous concentrer sur ce que vous essayez de protéger et identifier les principaux risques que court votre organisation et être en mesure d’y répondre. Voilà un exercice très utile auquel beaucoup d’organisations se livrent aujourd’hui. C’est ce que nous appelons la modélisation des risques. L’objectif est donc de déterminer quels sont nos biens essentiels, ce que nous essayons de protéger en tant qu’organisation, quel serait l’impact si un cybercriminel accédait à ces systèmes, et enfin de comprendre quels sont les différents types de menaces susceptibles de nous poursuivre et quelles sont les vulnérabilités qui leur permettraient d’accéder à ces informations. Une fois que vous aurez compris cela, vous serez en mesure d’élaborer une stratégie en fonction des risques, proportionnée et axée sur les éléments les plus importants pour vous. Ce qui est particulièrement remarquable, c’est que lorsque nous avons commencé à élaborer des cyberprogrammes par le passé, le coût en était très élevé. Grâce à la nouvelle nature dynamique des mécanismes de contrôle existants, même les plus petites sociétés ont la possibilité de mettre en place des cybercontrôles solides et complets à un coût adapté à la taille de leur environnement, au nombre d’utilisateurs et à ce qu’elles essaient de protéger. Nous avons donc bénéficié d’améliorations notables de la part de différents fournisseurs de services en nuage et d’outils accessibles dont le coût n'est plus le même qu’il y a quelques années, notamment grâce à des modèles d’abonnement et à une tarification par utilisation.
Ryan Wilson
27:40 Ce qui nous permet vraiment d’y réfléchir. Comment protéger nos données les plus sensibles et mettre en place une vision très précise des programmes pour protéger ce qui est important ? Évidemment, les manchettes des journaux, en particulier dans le domaine des régimes de retraite, ont fait état de brèches de sécurité dans les systèmes. Selon moi, il est très important, non pas de connaître la taille, la portée ou l’ampleur de ces brèches, mais de savoir à quoi elles correspondent et quelles sont les mesures pratiques que vous pouvez prendre, en tant que titulaires et administrateurs de régimes de retraite, pour éviter que ces types d’incidents ne deviennent votre réalité. Par conséquent, si l’on examine les types d’attaques que nous observons - Ted en a parlé plus tôt dans la communication - l’une des principales mesures que peuvent prendre les organisations consiste à mettre en place une authentification multifactorielle. Là encore, nous entendons faire du commerce, éduquer et nous assurer que nos employés sont soucieux de la sécurité, mais nous devons les soutenir avec les bonnes technologies et les bons processus pour que notre programme soit efficace. Et donc cette authentification multifactorielle représente l’un de ces contrôles. Les membres de notre équipe d’intervention en cas d’incidents informatiques sourient toujours lorsque je dis cela, mais si les gens mettaient en place une authentification multifactorielle et un contrôle de sécurité efficace, il serait possible d’éliminer un grand nombre de menaces et de violations courantes observées à l’heure actuelle. Alors, utilisez la fonctionnalité d’authentification multifactorielle, prévoyez une troisième pièce d’identité, c’est-à-dire un nom d’utilisateur, un mot de passe et un code d’authentification numérique ou une application qui produit un code d’authentification numérique aléatoire auquel le cybercriminel n’aura pas accès. Cette solution empêche donc une grande partie des situations de vulnérabilité des informations d’identification que les organisations subissent aujourd’hui et qui mènent finalement à une brèche.
Ryan Wilson
29:46 David a déjà parlé de la surveillance de la sécurité. Cela représente un aspect essentiel du système de sécurité. Il convient de savoir si un cybercriminel fait une tentative de connexion à nos ressources. La surveillance en matière de sécurité doit être assurée 24 heures sur 24, 7 jours sur 7. Sachant qu’il est très difficile pour les petites organisations d’y parvenir, l’entreprise se tourne vers des tiers et des partenaires pour obtenir ce service. Cette capacité ne pourra jamais être développée à l’interne dans une entreprise plus petite. D’un point de vue fiscal, cela n’a pas de sens. En revanche, il est tout à fait possible de s’abonner à un service de ce type, dont le coût est raisonnable et auquel tous les régimes de retraite peuvent avoir recours. Par ailleurs, en parcourant l’ensemble des données assainies provenant de l’enquête publiée récemment, j’ai constaté qu’un grand nombre de régimes de retraite ne disposent pas d’une protection avancée contre les logiciels malveillants. Voilà un aspect auquel toutes les entreprises devraient réfléchir et qu’elles devraient intégrer à leur stratégie. Là encore, si l’on considère les rançongiciels et les types de menaces rencontrés, la protection avancée contre les logiciels malveillants est incontournable pour la plupart des organisations aujourd’hui, notamment si l’on veut combattre et arrêter un grand nombre de ces menaces particulières avant qu’elles ne deviennent de véritables cyberincidents à gérer.
Ryan Wilson
31:12 Finalement, la toute dernière partie dont je souhaitais parler portait sur les vulnérabilités. Lors de la première année de pandémie à la COVID, la quantité d’innovations qui se produisaient au sein des régimes de retraite était impressionnante. De nombreuses organisations se sont penchées sur le maintien ou l’amélioration de l’expérience de leurs clients, ainsi que sur le lancement de nouveaux services mobiles ou numériques. On a constaté que les organisations oubliaient souvent d’intégrer la sécurité. Alors nous avons introduit ces nouvelles plateformes et ces nouveaux mécanismes pour interagir avec nos clients, mais en laissant ouvertes diverses vulnérabilités et ouvertures. Il est également crucial de passer en revue ce que vous avez lancé au cours des dernières années, afin de vous assurer que vous connaissez les vulnérabilités existantes et, surtout, celles dont un cybercriminel pourrait abuser pour accéder à des informations et à des ressources non autorisées.
Ryan Wilson
32:10 La prochaine diapositive, SVP. De toute évidence, la question de la cybercriminalité est extrêmement vaste et compliquée, mais l’une des choses sur lesquelles nous avons beaucoup travaillé consiste à déterminer comment construire un cadre et structurer une conversation entre les équipes de direction et le conseil d’administration efficace, judicieuse, facile à exploiter et à utiliser, pour toutes les entreprises. Pour plus d’informations, consultez le centre EY pour les questions relatives aux conseils d’administration, il s’agit pourtant d’un cadre simple que de nombreuses entreprises et notamment de nombreux régimes de retraite, mettent en place de nos jours. Par conséquent, il faut avant tout commencer par donner le ton et s’assurer que nous avons le rythme et la visibilité appropriés quant à ce que nous essayons de protéger et quels sont les objectifs. Les indicateurs de performance de notre programme, dans une perspective cybernétique, sont quelque chose que vous avez convenu avec le conseil d’administration et que vous révisez régulièrement. En outre, nous voulons nous assurer que chaque entreprise se tient à jour. Le monde cybernétique évolue très rapidement et il faut s’assurer d’évoluer et de surveiller les risques pour garantir la bonne gestion de la cybersécurité dans les limites de la tolérance au risque de l’entreprise.
Ryan Wilson
33:34 Nous devons également faire en sorte que ce programme repose sur la valeur à risque. En définitive, nous devons comprendre ce que nous essayons de protéger, combien nous comptons dépenser financièrement pour ces contrôles, pour la technologie de traitement des personnes afin de sécuriser nos actifs, et ce qui est logique par rapport à la valeur de ces actifs, n’est-ce pas ? Toutes ces conversations doivent être menées par l’équipe de direction avec le conseil d’administration. La prochaine section se concentre sur la manière de mettre cela en pratique. Aujourd’hui, l’une des principales mesures prises par les entreprises performantes consiste à intégrer la sécurité dès le départ. Lors du lancement d’une nouvelle initiative numérique, nous nous assurons que la cybernétique fait partie intégrante du processus. Il s’agit également des intervenants, impliqués tout au long du processus, souhaitant bénéficier d’une visibilité sur le déroulement du programme, s’assurer que le système répond aux besoins de l’entreprise et, ce qui est encore plus important, veiller à ce que ce nouveau service numérique soit sécurisé dès sa conception, lors de sa mise sur le marché.
Ryan Wilson
34:44 Il faut ensuite faire en sorte de prendre les bonnes décisions. De nombreuses entreprises analysent régulièrement leur programme de cybercriminalité : les résultats correspondent-ils à nos attentes ? - et, dans bien des cas, recourir à un tiers externe mandaté pour fournir un examen indépendant à l’équipe de direction et au conseil d’administration sur les performances et les progrès de ce programme, ainsi que sur le niveau général de maturité des cyberpratiques dans l’ensemble de l’entreprise. Pour les plus petites entreprises, la question reste d’actualité : il s’agit d’examiner de manière générale tous les cyber-risques inhérents à leur activité et de s’assurer que, dans le cadre de l’évaluation de leur maturité. Il ne s’agit pas seulement de leurs capacités internes, mais aussi de celles des tiers ou des autres entreprises chargées de leur fournir des services de cybersécurité. Nous tenons également à nous assurer que nous comprenons ce qu’il faut faire lorsqu’un cyberincident ou un événement se produit. L’objectif consiste donc à établir un plan d’intervention en cas d’incidents informatiques, à comprendre le protocole permettant de passer rapidement à l’échelon supérieur, à déterminer qui doit être impliqué et à quel moment, et surtout, à savoir qui doit être notifié et informé de l’évolution de l’incident. Toute tentative visant à résoudre ce problème au cours de l’incident lui-même ou à la volée entraîne généralement des performances sous-optimales dans la gestion d’un cyberincident ou d’une crise. Nous souhaitons par conséquent nous assurer que la plupart de ces éléments sont définis dès le départ et suffisamment à l’avance pour que nous puissions faire face au problème et le gérer de manière appropriée.
Ryan Wilson
36:25 Quant à la dernière section de ce modèle, elle est consacrée à la gestion et à la surveillance des risques. Le risque lié aux tiers constitue l’un des éléments clés que nous avons découverts et qui sont toujours en cours de développement dans de nombreuses entreprises. Lorsque nous examinons notre chaîne d’approvisionnement et nos fournisseurs essentiels, comment pouvons-nous nous assurer que ces derniers ne constituent pas un point de faiblesse pour nous aussi ? Il ne suffit donc pas de s’assurer que notre cyberprogramme de protection des données et des informations relatives aux régimes de retraite est bien sécurisé, il faut aussi comprendre comment des tiers pourraient également compromettre la sécurité de ces données. On constate souvent que les cybercriminels sophistiqués ne passent pas par la porte d’entrée. Ceux-ci ne passeront pas directement par votre entreprise s’ils estiment que vos cybercontrôles sont suffisants ou complets. Au contraire, ils passeront par un tiers ou une entité qui n’a peut-être pas investi autant dans la cybersécurité pour finalement parvenir à accéder aux informations recherchées. Quant aux deux derniers éléments dont je voulais vous parler rapidement, ils portent sur les tests d’intervention et de rétablissement. Un grand nombre de ces entreprises ont été touchées par d’importantes brèches et compromissions informatiques, dont un grand nombre impliquant des rançongiciels. Au Canada et ailleurs dans le monde, le nombre d’entreprises ne parvenant pas à se rétablir comme elles l’avaient prévu est impressionnant. Dans cinq entreprises avec lesquelles j’ai travaillé directement, il est arrivé que celles-ci ont été victimes d’une attaque de rançongiciels généralisée, au point de ne plus pouvoir fonctionner. Quand les responsables ont voulu revenir aux sauvegardes et restaurer les systèmes, ils ont réalisé que même leurs sauvegardes étaient en ligne et également cryptées par cet incident de type rançon. Par conséquent, ils ont dû payer la rançon aux cybercriminels afin de pouvoir reprendre leurs activités normales. La vérification de vos capacités d’intervention et de rétablissement constitue donc un élément essentiel de la réflexion portant sur le perfectionnement de votre programme et de vos pratiques en matière de cybersécurité.
Ryan Wilson
38:36 Finalement, le dernier élément consiste à comprendre ce qui se passe sur le marché actuel. Il est donc primordial de se tenir au courant de l’évolution de ces pratiques, de la manière dont vos pairs se comportent dans ce secteur et, surtout, des révélations qui sont faites en termes de cyberviolations et de partage des données de renseignement sur les menaces avec des entreprises de nature similaire à la vôtre, afin de rester à l’affût de ces cybermenaces pour adopter une attitude et des capacités efficaces visant à prévenir ces types de cyberattaques et éventuellement à se rétablir en cas d’attaque. Sur ce, je cède la parole à David pour la suite.
David Bartucci
39:24 Un grand merci, Ryan, pour le partage de vos réflexions et conseils. J’ai trouvé ça vraiment génial. Plusieurs questions ont été posées. Je vous rappelle que les questions-réponses de l’événement en direct se trouvent dans le coin supérieur droit de votre écran. Donc la première que je vais aborder dans le contexte de l’enquête où la politique de l’employeur correspond à la politique des régimes. Par conséquent, nous avons partagé l’enquête avec les contacts des administrateurs de régimes et les avons invités à transmettre les questions à la personne qu’ils pensaient être la mieux placée pour les aider à répondre. Dans la plupart des cas, lorsque le contact principal du régime est l’administrateur et que le promoteur est le même, je pense qu’ils ont probablement répondu à la question du point de vue de leur employeur. En revanche, de nombreuses personnes ont confié cette tâche à des consultants ou à d’autres tiers. Je pensais que les réponses à l’enquête fournies par certains fournisseurs de services étaient spécifiques au régime. Mais aux fins de l’enquête, nous les avons en quelque sorte considérés comme étant identiques.
David Bartucci
40:52 La prochaine question porte sur la conservation des dossiers. La réponse que je vais donner à cette question consiste à dire que nous savons que la question de la politique de conservation des dossiers est un élément majeur pour le secteur et que nous avons l’intention de l’aborder dans les prochaines communications. Nous étudions actuellement un document de référence que nous avons publié, je crois, l’été dernier, sur les rôles et les responsabilités des administrateurs. Nous allons profiter de l’occasion pour mettre à jour ce document de référence, notamment en examinant les questions relatives à la politique de conservation des dossiers et en réfléchissant un peu à la manière dont les administrateurs peuvent et doivent envisager le traitement des plaintes déposées par les membres. Je voudrais maintenant poser une question à Ryan : Comment convaincre les promoteurs de régimes et les membres que les systèmes sont sécurisés ?
Ryan Wilson
42:13 Voilà, une excellente question. Il existe plusieurs façons de faire. La première consiste en des évaluations externes ou par des tiers de votre cyberprogramme, qui indiquent l’exhaustivité et la maturité de ce programme, et vous pouvez donc envisager de partager un aperçu de ce à quoi cela ressemble. Bien entendu, vous ne voudrez pas partager la représentation détaillée du programme. Mais en général, une lettre ou une version très sommaire de l’évaluation de votre programme par un tiers, une entreprise réputée, représente un bon moyen d’y parvenir. Dans un tel contexte, l’autre chose que je constate, c’est qu’un certain nombre d’entreprises envoient une lettre de leur équipe de direction dans laquelle l’accent est mis sur la cybersécurité et, en particulier, sur des questions telles que la manière dont vous protégez les données des participants au régime, les contrôles de sécurité des données que vous y appliquez afin de vous assurer que celles-ci sont bien protégées, et que seules les personnes concernées y ont accès, en fonction de leur besoin de savoir.
David Bartucci
43:25 Ryan, pouvez-vous également répondre à la question concernant l’authentification à deux facteurs ?
Ryan Wilson
43:35 Oui. Je viens juste de le lire ici. En fait, la question porte sur les mécanismes à deux facteurs qui sont fiables et ceux qui sont considérés comme moins fiables. Donc la réponse à cette question est la suivante : il y a une grande différence dans le type d’authentification sécurisée à deux facteurs que vous utilisez. Les textos sont probablement en bas de la liste. On connaît des exemples bien connus où des données provenant de textos ont été compromises lors d’une cyberattaque orchestrée à l’aide d'un mécanisme de contournement de l’authentification à deux facteurs. Les textos devraient donc figurer au bas de votre liste. La manière la plus courante et la plus sûre pour activer l’authentification à deux facteurs est d’utiliser une application sécurisée sur votre téléphone. Microsoft et Google, notamment, proposent des authentificateurs que vous pouvez activer et dont le code sécurisé s’affiche de manière sécuritaire dans l’application. Il est beaucoup plus difficile pour un cybercriminel de le compromettre et c’est sans aucun doute l’une des méthodes préférées de gestion d’authentification multifactorielle.
Caroline Blouin
45:07 La prochaine question s’adresse à Ted. Les polices d’assurance cybernétique couvrent généralement quels éléments, et comment évaluent-elles les dommages ? Et aussi, quel est le coût général pour un régime de retraite ?
Caroline Blouin
45:36 Ou peut-être que nous avons perdu Ted.
David Bartucci
45:38 Je pense qu’on avait perdu Ted pendant un moment.
Caroline Blouin
45:41 Oh, non.
David Bartucci
45:41 On va conserver celle-là...
Caroline Blouin
45:42 Bon.
David Bartucci
45:42 --...jusqu’à ce qu’il revienne. En attendant le retour de Ted, il y a peut-être une question sur le lien entre la cybernétique et l’ESG. Je me demande si tu ne voudrais pas faire un commentaire à ce sujet, Ryan. La question se pose également de savoir comment recommander à un régime d’évaluer le processus cybernétique d'un tiers, et si les rapports sur les contrôles d’une société de services sont suffisants. Alors je les diffuserai toutes deux et les enverrai à Ryan.
Ryan Wilson
46:17 Bien sûr. Je commencerai par la question de savoir comment évaluer un tiers. Cette question est vraiment intéressante pour de nombreuses entreprises actuelles. Avant tout, il convient donc de recourir à un programme de gestion des risques par un tiers, ce qui est généralement le cas dans ce domaine particulier. Comme dans une entreprise typique, on a affaire à un grand nombre de tiers, il faut les hiérarchiser et les catégoriser. Vous procéderez généralement en fonction de la gravité ou des éléments les plus critiques pour votre entreprise et, en définitive, de ceux qui présentent un impact significatif ou un accès aux données des participants au régime. Lorsque vous avez compris qui sont ces tiers, vous rédigez généralement une série de questions que vous souhaitez comprendre du point de vue des pratiques de sécurité. Un certain nombre d’entreprises publient des recommandations sur la nature de ces questions. L’une des questions spécifiques était de savoir si un rapport sur les contrôles d’une société de services (SOC) était suffisant. Les rapports sur les contrôles d’une société de services (SOC) contiennent beaucoup d’informations relatives à l’entreprise que vous évaluez. Selon moi, il est vraiment important de comprendre le champ d’application de ce rapport sur les contrôles d’une société de services, qu’il s’agisse d’un SOC de type 1 ou de type 2, et de s’assurer qu’il couvre les services que vous utilisez dans cette entreprise, puis de faire correspondre le rapport sur les contrôles aux questions que vous posez à celle-ci, du point de vue du risque. Pour moi, un rapport sur les contrôles d’une société de services informatiques est un très bon point de départ pour l’évaluation d’un tiers, mais ce n’est certainement pas un guide définitif pour s’assurer qu’il est sécurisé et qu’il suit les pratiques que vous recherchez. David, souhaitez-vous poser à nouveau la deuxième question ? Excusez-moi, je suis juste en train de [inaudible] ici.
David Bartucci
48:21 C’était une question de connexion. Pas de souci. Elle portait sur le lien entre l’ESG et la cybersécurité.
Ryan Wilson
48:30 Exactement. Oui. La cybersécurité constitue un des domaines clés ou un des domaines sur lesquels l’ESG va certainement se pencher. Si vous examinez l’impact que la cybersécurité pourrait avoir sur, essentiellement, l’évaluation financière de cette entreprise, la perte de marque et de réputation d’une cyberattaque, si je regarde un programme ESG complet, la cybersécurité en constitue l’un des éléments. Là encore, compte tenu de la nature de la cybernétique en général, de l’impact qu’elle peut avoir sur une entreprise, et, dans votre cas, sur les membres du régime, je dirais qu’il s’agit d’un des principaux sujets à l’ordre du jour de la plupart des entreprises.
David Bartucci
49:21 Merci, Ryan. En fait, je vais revenir à Ted qui nous a rejoints. Une question antérieure, portant sur l’assurance cybernétique, a été posée : que couvrent généralement les polices d’assurance cybernétique et quel en serait le coût ? Une autre question à laquelle je vous inviterai peut-être à répondre simultanément est la suivante : si un administrateur a souscrit à une police d’assurance cybernétique ou d’ingénierie sociale, pensez-vous que cette police couvrira également le régime lui-même ? Je vais donc l’afficher, et t’inviter à y répondre, Ted.
David Bartucci
50:48 Ted, on a du mal à vous entendre.
Ted Harman
50:57 Ça aiderait si je désactivais mon micro [rires], alors... Nous revoilà en 2022. Je vais donc reprendre depuis le début. Les cyberpolitiques se divisent grosso modo en deux grandes sections. La première section correspond à la couverture de première partie, couvrant l’entreprise qui achète elle-même. Par conséquent, si vous êtes un administrateur de régime, elle couvrira votre propre réseau et les coûts liés à une cyberattaque sur votre réseau. Puis, vous aurez une deuxième partie de la police qui couvrira les dommages causés par des tiers, ce qui correspondrait aux coûts liés aux membres de votre régime. Vous administrez donc une pension avec 10 000 ou 100 000 bénéficiaires de ladite retraite. La couverture par un tiers couvrira les dépenses liées à la notification de vos bénéficiaires et les coûts liés à la protection future de ces personnes. Pour ce qui est du gouvernement fédéral, 600 000 contribuables ont été touchés par une cyberattaque. J’en faisais partie. Ils ont proposé une surveillance du crédit pendant cinq ans. Le coût moyen par membre du régime, en fonction du nombre de membres et de la durée de la couverture que vous allez offrir, si vous utilisez une année comme règle pragmatique, vous pouvez vous attendre à acheter une police - soit 75 $ pour chaque membre du régime.
Ted Harman
52:59 Si vous comptez 100 000 participants au régime, il vous faudra donc 7,5 millions de dollars pour la couverture par des tiers. Et voilà une règle pragmatique. Il ne s’agit pas d’une règle absolue. Voilà un moyen simple de vous faire une idée du type de couverture dont vous pourriez avoir besoin. Toutefois, Chubb fournit un outil de modélisation qui vous permet de déterminer exactement ce dont vous avez besoin comme couverture. La reconstitution des réseaux représente pour la première partie une opération extrêmement coûteuse. Et donc, vous devez vous assurer que les coûts de reconstitution des données sont couverts. Quant à la méthode de détermination de ces coûts, je pense que Ryan est peut-être mieux placé que moi pour en parler, ou pour présenter des méthodes de détermination de ces coûts. David, vous vouliez poser une autre question sur un autre sujet ?
David Bartucci
54:10 Oui, Ted, merci bien. Pourquoi ne pas... Nous y répondrons par écrit. Plusieurs autres questions ont été soulevées. Alors je pense que je poserai une toute dernière question à Ryan. Par ailleurs, comme Caroline le disait au début, nous répondrons par écrit à toutes les autres questions formulées, et vous recevrez une notification à ce sujet. Alors, Ryan, quelques questions se ressemblent. Et la question est vraiment de savoir comment un promoteur planifié envisage d’effectuer un examen cybernétique. Mais comment savent-ils qu’une entreprise avec laquelle ils souhaitent collaborer est un bon partenaire ? Par ailleurs, comment évaluez-vous les tiers ? C’est probablement un peu long, mais je vais vous le dire.
Caroline Blouin
55:13 Je peux ajouter, parce qu’il y en a plusieurs et qu’une variante concerne les petites entreprises, que vous leur recommandez d’obtenir une évaluation externe en matière de cybersécurité ?
Ryan Wilson
55:29 Bon. Oui, c’est une question assez complexe. Alors examinons ça un peu plus en détail. Pour commencer, je pense qu’il y a deux choses communes, lorsque vous commencez à réfléchir à la compréhension du cyberrisque pour une entreprise, qui sont essentielles. La première consiste à évaluer les risques liés aux menaces. Il convient donc de comprendre ce qui est le plus important pour une entreprise, en fonction de l’activité elle-même et des actifs essentiels à protéger. Vous devriez donc réfléchir à l’évaluation des risques liés aux menaces. Un grand nombre d’entreprises externes qui fournissent ce... J’en parlerai un peu plus tard. La deuxième section consiste en un examen de la maturité cybernétique. Un bilan de maturité cybernétique permet de déterminer quelles sont les pratiques les plus efficaces que les entreprises devraient adopter d’un point de vue cybernétique et, en définitive, de vous situer sur une échelle par rapport à votre situation actuelle et de déterminer quelles sont les prochaines étapes immédiates ou les mesures les plus significatives à prendre pour améliorer votre infrastructure et votre programme cybernétiques. Concernant les entreprises externes, il existe aujourd’hui un certain nombre de fournisseurs de cybersécurité, les quatre plus grandes entreprises le font régulièrement. De nombreux cabinets de comptabilité et d’audit de niveau 2 font aussi ce genre de travail. Toutes ces entreprises sont manifestement bien connues et réputées. Il y a aussi de nombreuses boutiques dans le domaine de la cybersécurité. Évidemment, vous pouvez évaluer et examiner leur réputation et leur capacité générale à effectuer ce travail, mais le marché canadien en compte un grand nombre qui le font régulièrement. Renseignez-vous auprès de vos références, vérifiez avec qui ils travaillent, discutez avec eux et tirez vos conclusions en conséquence.
Ryan Wilson
57:23 Finalement, pour ce qui est de la gestion des risques liés aux tiers, là encore, beaucoup d’entreprises s’en chargeront elles-mêmes. Si nécessaire, ils consulteront une entreprise externe pour savoir quelles sont les bonnes questions à poser. Là encore, privilégiez les fournisseurs indispensables ou ceux qui ont un accès direct ou qui risquent d’avoir le plus d’impact sur les membres du régime ou les actifs informationnels de l’entreprise elle-même. Bon, j’espère avoir répondu à la question de fond. Si nous ne parvenons pas à le faire lors de ce webinaire, nous serons heureux d’assurer le suivi par courriel ou par écrit. À vous, David.
Caroline Blouin
58:09 Merci. Oh. C’est à moi de prendre le relais. Oui. Merci beaucoup, Ryan. Ça ira. C’était fantastique. Une foule d’informations pertinentes. Mille mercis Ryan, Ted, David. Ce fut très instructif. Ces questions sont tout à fait pertinentes. Beaucoup de questions demeurent en suspens. Merci beaucoup pour chacune d’entre elles, notamment pour celles sur les ressources et les vendeurs. Nous les aborderons toutes, et nous publierons l’enregistrement de cette transmission, de même que les réponses aux questions non traitées, dans quelques semaines sur notre site web. J’espère que cette séance vous a permis de vous familiariser avec le sujet. Et comme d’habitude, il vous suffit de contacter l’un d’entre nous si vous avez des questions. Sur ce, nous vous remercions et vous souhaitons un excellent après-midi. Merci beaucoup.
Foire aux questions
Q1: Combien de temps faut-il conserver les dossiers de participants dont la prestation de retraite a été payée, lorsqu’aucune prestation n’est due?
R1: Les dossiers d’un régime de retraite qui se rapportent aux bénéficiaires du régime à titre individuel devraient être conservés aussi longtemps que les bénéficiaires en question ont des droits en vertu du régime.Ces dossiers peuvent inclure l’information liée à l’affiliation au régime, les désignations de bénéficiaires, les relevés de retraite, des documents juridiques relatifs à la rupture d’une relation maritale, etc.
Lorsqu’un participant au régime a mis fin à son emploi ou (dans le cas de régimes de retraite interentreprises) à son affiliation au régime et qu’il a choisi de transférer son droit à pension hors du régime, il n’est pas nécessaire de conserver tous les dossiers du régime qui se rattachent au participant en question. Toutefois, il est important que l’administrateur du régime conserve au moins un résumé du dossier se rapportant au participant qui quitte le régime, car un tel résumé confirmera le fait que le droit à pension de cette personne en vertu du régime a été réglé intégralement. De plus, nous constatons que, dans certains cas de rupture de relation maritale, les administrateurs devront calculer les droits accumulés pour des participants dont la prestation a été retirée du régime. Si les administrateurs de régimes ne disposent pas à l’interne de connaissances et d’expertise dans ce domaine, ils devraient demander les conseils d’un spécialiste concernant les politiques et les pratiques exemplaires de gestion des dossiers.
Vous trouverez une liste des pratiques exemplaires de gestion des dossiers dans le document PE0120ORG – Gestion et conservation par l’administrateur des dossiers relatifs à un régime de retraite.
Q2: Un administrateur peut-il facturer à la caisse de retraite des dépenses liées à l’assurance en matière de cybersécurité, aux politiques et aux autres activités liées à la protection de l’information du régime de retraite?
R2: Il est généralement permis, sous réserve des documents du régime, de payer à partir de la caisse de retraite des dépenses raisonnables liées à l’administration du régime de retraite et au placement de ses fonds.
Les dépenses autorisées sont déterminées au cas par cas. Les administrateurs devraient tenir compte des polices d’assurance, que celles-ci concernent les fonctions opérationnelles de l’employeur ou le régime de retraite. Les dépenses engagées principalement pour le bénéfice ou la protection des intérêts de l’employeur ne peuvent pas être payées à partir de la caisse de retraite. Cela mis à part, les dépenses susmentionnées peuvent généralement être prélevées sur la caisse de retraite si les documents du régime l’autorisent et si ces dépenses sont raisonnables et appropriées dans les circonstances et sont dans l’intérêt des bénéficiaires du régime.Si l’administrateur du régime ne dispose pas à l’interne de connaissances et d’expertise dans ce domaine, il devrait demander un avis juridique concernant les types de dépenses pouvant être prélevées sur la caisse de retraite.
Vous trouverez des renseignements complémentaires dans la ligne directrice PE0296INT – Rôles et responsabilités des administrateurs de régimes de retraite.
Q3: Comment pouvons-nous convaincre les promoteurs et les participants aux régimes que les systèmes de régimes de retraite sont protégés efficacement?
R3: Vous pourriez transmettre aux promoteurs et aux participants aux régimes une déclaration indiquant comment vous avez mis sur pied un programme de cybersécurité (de haut niveau) fondé sur le risque en vous conformant à une norme précise de ce secteur. Il faut tout particulièrement veiller à ce que des contrôles essentiels soient en place pour protéger les données des participants, avec notamment une gestion rigoureuse de l’identité et de l’accès et une solide protection des données.
Q4: Une authentification à deux facteurs par texto ou par courriel ne suffit-elle plus? J’ai entendu dire que l’utilisation d’applications d’authentification est la nouvelle norme de référence pour l’authentification à deux facteurs?
R4: Les pratiques de pointe courantes reposent sur une authentification multifacteur rigoureuse, par exemple l’utilisation d’une application d’authentification réputée. Le texto n’est pas la forme d’authentification multifacteur la plus sécuritaire.
Q5: Selon vous, comment l’administrateur d’un régime devrait-il évaluer la pertinence des processus de cybersécurité d’un tiers? Les rapports sur les contrôles des prestataires de services (SOC) suffisent-ils?
R5: L’établissement d’un programme de gestion du risque lié aux tiers ayant une portée suffisante pour comprendre le niveau de cybersécurité d’une entité précise (tierce) avec laquelle vous faites affaire est une pratique courante. Cette évaluation des tiers examine les cybercontrôles en place – le nombre et la complexité des questions sont généralement échelonnés en fonction du type de données et du niveau d’accès aux systèmes d’information dont dispose le tiers. Un rapport sur les contrôles des prestataires de services fournit les réponses concernant certains des contrôles clés à examiner, mais pas tous.
Q6: Une organisation de taille relativement réduite, mais qui conserve des renseignements personnels devrait-elle faire réaliser une évaluation de la sécurité par un tiers? Quelles organisations fournissent ce type d’évaluations?
R6: Toutes les organisations devraient évaluer leur programme de cybersécurité et leurs moyens de défense. La pertinence du cadre utilisé pour ces examens devrait être déterminée selon la taille de l’entreprise et la sensibilité des données qu’elle détient.
Q7: Si l’administrateur délègue l’administration quotidienne du régime à un fournisseur de services tiers et transmet de ce fait les renseignements personnels concernant les participants à ce tiers, est-ce une bonne pratique de demander à ce fournisseur tiers de présenter une certification annuelle attestant qu’il a en place une politique de cybersécurité et qu’aucune attaque de cybersécurité n’a eu lieu au cours de la dernière année du régime de retraite?
R7: La tenue d’un examen officiel de la cybersécurité devrait être envisagée si l’administration du régime est déléguée à un tiers. Plus précisément, vous pourriez décider d’étudier les cyberpratiques de ce tiers et les moyens qu’il met en œuvre pour protéger les données du régime et les renseignements sur les participants. En général, cela se fait dans le cadre d’un programme de gestion du risque lié aux tiers, en utilisant un questionnaire (voir ci-dessus).
Q8: Comment un promoteur de régime peut-il trouver une entreprise réputée qui effectue ce type d’examen de la cybersécurité? L’ARSF tiendra-t-elle un répertoire de fournisseurs approuvés ou recommandés? Quel est le coût estimé d’un tel examen pour un promoteur de régime?
R8: Il existe partout au Canada un certain nombre d’organisations de cybersécurité réputées qui ont les capacités et les compétences nécessaires pour effectuer un examen complet de la cybersécurité selon un cadre normatif de l’industrie, tel que NIST ou ISO. De plus, on peut effectuer des tests de nature plus tactique, comme les tests de sécurité et de vulnérabilité des applications, pour évaluer les faiblesses de l’environnement opérationnel. L’ARSF ne tient pas de liste, mais Gartner, Forrester et d’autres organismes de recherche dressent la liste des meilleures entreprises à envisager pour la fourniture de ces services.
Q9: Vous avez mentionné que plusieurs incidents de cybersécurité touchant des régimes de retraite avaient récemment fait les manchettes. Pourriez-vous en donner quelques exemples? Comment les problèmes ont-ils finalement été réglés?
R9: Plusieurs incidents de cybersécurité ont touché des régimes de retraite. Certains ont été mentionnés dans la présentation, en supprimant les noms des régimes. Des litiges sont toujours en cours relativement au règlement d’un grand nombre de ces incidents.
Q10: Un rapport SOC 2 est-il important? La production d’un tel rapport remplace-t-elle ou complète-t-elle d’autres politiques de cybersécurité?Qu’en est-il d’ISO 27001?
R10: Un rapport SOC 2 est une attestation importante des pratiques opérationnelles. Il complète et étudie les éléments précis d’un programme de cybersécurité efficace. ISO 27001 est une norme spécifiquement axée sur la cybersécurité, par rapport à laquelle on peut obtenir une certification.
Q11: Quelle est l’importance d’un plan de rétablissement après catastrophe approprié?
R11: Des plans bien formulés de continuité des activités et de rétablissement après catastrophe sont essentiels pour que l’on sache comment reprendre ses activités opérationnelles normales après un incident de cybersécurité ou une violation de données.Il est tout aussi important de veiller à ce que ces plans soient fréquemment mis à l’épreuve et à ce que vous soyez capable de restaurer les services en fonction des objectifs de point de rétablissement et de temps de reprise que vous avez fixés.
Q12: Quelles ressources recommanderiez-vous à quelqu’un qui cherche à établir une approche de cybersécurité plus élaborée?
R12: Les cadres de cybersécurité du NIST-CSF et ISO 27001 sont deux cadres complets actuellement utilisés. De plus, il est essentiel d’établir officiellement une méthode d’évaluation du risque afin d’évaluer et de comprendre formellement les cyberrisques inhérents et résiduels (par exemple, les méthodes IRAM2 et FAIR).
Q13: Que couvrent généralement les polices de cyberassurance (c.-à-d. comment évaluent-elles les dommages) et quel en est le coût général pour un régime de retraite?
R13: La cyberassurance responsabilité civile comprend généralement deux types de cyberassurance, la responsabilité de première partie et la couverture des données et des réseaux.
L’assurance responsabilité de première partie couvre les dépenses que votre entreprise pourrait engager à la suite d’une violation de données ou d’une autre cyberattaque contre votre réseau ou vos systèmes informatiques.Elle couvre les coûts suivants :
- Interruption des activités : Couvre la perte de revenus découlant d’une violation des systèmes informatiques de l’assuré.
- Récupération des données : Couvre les coûts de restauration du réseau et des données à un point antérieur à l’incident.
- Cyberextorsion : Couvre les paiements en cas d’extorsion ainsi que les honoraires et les dépenses liés au recours à un conseil en sécurité pour prévenir ou mettre fin à une menace d’extorsion.
- Coûts d’expertise en informatique judiciaire : Couvre les coûts associés au recrutement d’un professionnel tiers afin de déterminer où, quand et comment s’est produite la violation.
- Services juridiques : Couvre les coûts juridiques à engager pour se conformer aux lois régissant les avis à transmettre en cas de violation et obtenir des conseils juridiques face aux cas suspectés ou avérés de vol ou de perte de données personnelles.
- Services de notification : Couvre les coûts associés à la communication aux parties concernées par la violation (particuliers, entités et autorités de réglementation) d’informations sur l’incident.
- Dépenses en relations publiques et en gestion des situations de crise : Couvre la perte de revenus découlant de la communication d’un cyberincident dans les médias qui entraîne la résiliation de vos services par un ou plusieurs de vos clients.
- Piratage psychologique : Couvre les pertes d’argent lorsque des pirates informatiques manipulent des membres du personnel de manière à ce qu’ils divulguent des renseignements confidentiels, les amenant ainsi à céder volontairement des sommes d’argent.
- Défense réglementaire et pénalités : Couvre les coûts associés à la comparution à une procédure civile, administrative ou réglementaire et à l’imposition d’amendes administratives ou autres.
- Amendes et pénalités liées aux normes de l’industrie des cartes de paiement : Couvre les évaluations monétaires, les amendes et les pénalités découlant du non‑respect de normes de l’industrie des cartes de paiement.
La couverture des données et des réseaux englobe les dommages et les frais de réclamation associés à des poursuites alléguant la collecte, la divulgation, l’utilisation, l’accès, la destruction ou la modification non autorisés de renseignements personnels protégés. Dans de telles poursuites, votre entreprise peut être accusée de ne pas avoir protégé adéquatement les données dont vous avez la charge, la garde et le contrôle.
Il est difficile de donner une idée du montant de la prime d’assurance applicable, car celle-ci peut varier en fonction des caractéristiques propres à chaque caisse de retraite. Plus la caisse est grande, plus le nombre de dossiers qu’elle détient est élevé, et plus la prime sera élevée.
Q14: Si l’administrateur du régime a contracté une police de cyberassurance ou contre le piratage psychologique, cette police couvrirait-elle également le régime de retraite?
R14: Nous recommandons aux administrateurs de régimes de demander à leur assureur de nommer spécifiquement les clients de l’administrateur comme assurés désignés.Cela garantira que la couverture contractée par l’administrateur englobe les opérations de son client relatives à son régime de retraite.
Q15: En qualité de conseiller, devrait-on recommander à nos clients de souscrire une assurance de cybersécurité?
R15: Oui, incontestablement. La question devrait faire partie du processus de diligence raisonnable que vous suivez avec vos clients lors de l’établissement de leur régime.