Le 19 janvier 2017, les Autorités canadiennes en valeurs mobilières (« ACVM ») (PDF) ont publié l'Avis multilatéral 51-347 du personnel des ACVM – Information sur les risques et les incidents liés à la cybersécurité (l'« Avis »). L'Avis fait état des pratiques actuelles des émetteurs concernant la communication de l'information sur des questions lies à la cybersécurité et donne une orientation sur la communication qui s'impose concernant les risques de cybersécurité et en cas de véritables cyberattaques à venir. L'Avis s'inscrit dans une mouvance plus générale, étant donné qu'un certain nombre d'autres organismes de réglementation ont axé leur attention sur les enjeux liés à la cybersécurité au cours des dernières années, notamment l'Organisme canadien de réglementation du commerce des valeurs mobilières, l'Association canadienne des courtiers de fonds mutuels et le Bureau du Surintendant des institutions financières.
L'Avis repose sur l'examen, réalisé récemment par le personnel des ACVM, de la communication publique d'information par 240 entreprises constituant l'Indice composé S&P/TSX. Dans le cadre de cet examen, le personnel des ACVM a cherché à cerner si et de quelle manière les émetteurs abordaient la cybersécurité dans l'information qu'ils communiquaient sur les facteurs de risque et s'ils avaient déjà fait état de cyberattaques. L'information communiquée par 61 % des émetteurs échantillonnés a constaté des questions liées à la cybersécurité dans une certaine mesure. Cependant, peu d'émetteurs ont fourni des renseignements sur les vulnérabilités propres à leur organisation, se contentant plutôt de souligner les risques auxquels font face les entreprises en général en raison de leur dépendance des technologies de l'information.
Ainsi que l'aborde plus en détail l'Avis, le personnel des ACVM s'attend à ce que la communication d'information sur la cybersécurité soit axée sur « l'information importante et propre à leur situation ». L'inclusion de « phrases toutes faites » faisant état des risques généraux auxquels sont confrontés les émetteurs ne suffit pas pour respecter les obligations d'information. Par exemple, certains des renseignements communiqués, et que le personnel des ACVM a passés en revue, faisaient état du secteur d'activité de l'émetteur, de sa propriété de certains éléments d'actif et de la nature de ses activités comme étant des facteurs pouvant donner lieu à des risques importants à la cybersécurité propres à l'émetteur. Les lecteurs devraient être en mesure de se servir des renseignements publics communiqués afin de distinguer un émetteur d'un autre sur les plans du niveau d'exposition et de la préparation à faire face à des cyberattaques, et, par conséquent, l'information communiquée devrait être « aussi détaillée et propre à leur situation que possible ». L'importance relative dans les cas de risques liés à la cybersécurité s'articule autour d'une analyse contextuelle de la probabilité qu'une atteinte survienne et de l'ampleur prévue de son incidence. Dans l'établissement de leur information, les émetteurs sont invités à prendre en compte les raisons pour lesquelles ils pourraient être exposés à une atteinte à la cybersécurité, la source et la nature des risques, les conséquences éventuelles d'une cyberatteinte, le caractère adéquat des mesures préventives ainsi que les cyberincidents importants antérieurs et leurs effets sur leurs risques liés à la cybersécurité. Les émetteurs devraient également indiquer le nom des personnes ou du comité responsables des questions liées à la cybersécurité.
L'Avis donne également une indication concernant les obligations juridiques incombant aux émetteurs de déclarer des faits ou des changements importants à la suite d'une cyberattaque réelle. Le personnel des ACVM a reconnu qu'il n'existait aucun critère de démarcation permettant d'établir l'importance relative et que celle-ci dépendra de la situation de l'émetteur ainsi que du type de cyberatteinte et de l'ampleur de ses conséquences. Même des cyberattaques relativement mineures pourraient être perçues comme importantes si elles sont nombreuses ou se produisent fréquemment. La détermination de l'importance d'une attaque est un « processus dynamique » se déroulant tout au long des phases de détection et d'évaluation de l'incident et de mise en place des mesures correctives.
L'exposition aux risques d'incidents de cybersécurité est devenue une réalité opérationnelle tant pour les émetteurs que pour les non-émetteurs, et ce, au fur et à mesure que les entreprises deviennent de plus en plus dépendantes des technologies de l'information. Les incidences éventuelles de cyberattaques, comme le souligne l'Avis, peuvent comprendre la destruction ou la corruption de renseignements confidentiels ou exclusifs, la perte de revenus en raison de perturbations des activités et de l'engagement de coûts pour remédier à la situation, l'augmentation des primes d'assurance, les litiges et une plus grande surveillance de la part des autorités de réglementation. Les entreprises devraient mettre en œuvre des politiques et procédures en matière de cybersécurité – et ce, dans le respect des lois sur la protection des renseignements personnels et la sécurité des données – afin d'atténuer leur exposition aux risques de cyberattaques et aux répercussions de celles-ci, lesquelles gagnent en complexité et peuvent être difficiles à dépister.
