L'OCRCVM instaure un signalement obligatoire des incidents de cybersécurité

TORONTO — L'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a annoncé jeudi qu'il obligeait désormais les sociétés de placement qu'il réglemente à signaler tout incident de cybersécurité dont elles sont victimes.

En vertu des nouvelles règles, les firmes devront rapporter à l'organisme de l'industrie tout incident de cybersécurité en deux phases.

La première accorde trois jours aux sociétés pour fournir une description préliminaire de l'incident et des mesures prises.

La deuxième phase prévoit une période de 30 jours pour fournir un rapport détaillé qui précise la cause et l'étendue du problème, ainsi que les mesures prises pour réduire le risque de préjudice pour les investisseurs et la société.

Selon l'OCRCVM, les signalements obligatoires permettront d'analyser l'information ainsi obtenue pour détecter toute tendance ou recueillir des renseignements, ce qui aidera à améliorer le degré de préparation du secteur en matière de cybersécurité.

L'OCRCVM est l'organisme d'autoréglementation qui surveille l'ensemble des courtiers en placement et toutes les opérations que ceux-ci effectuent sur les marchés canadiens des capitaux propres et des titres de créance.

Plus tôt cette semaine, le chef de l'exploitation de la Banque du Canada a fait valoir que les gouvernements et le secteur privé devraient développer davantage de moyens pour partager des informations sur les menaces à la cybersécurité qu'ils détectent régulièrement.