Les banques signalent une augmentation des violations « à fort impact » alors que le projet de loi fédéral sur la cybersécurité reste inactif
[ad_1]
Le nombre de cyberincidents « à fort impact » signalés par les banques canadiennes a presque triplé l’année dernière, selon l’organisme de surveillance du secteur.
Cette augmentation survient alors qu’un projet de loi fédéral destiné à protéger les systèmes critiques du Canada – y compris les systèmes financiers – est resté dans les limbes parlementaires pendant des mois.
«Nous sommes préoccupés par l’augmentation de ce nombre», a déclaré lundi soir Tolga Yalkin, surintendant adjoint au Bureau du surintendant des institutions financières (BSIF), devant un comité parlementaire étudiant le projet de loi.
Présenté pour la première fois au printemps 2022, le projet de loi C-26 obligerait les entreprises des secteurs de la finance, des télécommunications, de l’énergie et des transports à renforcer leurs cybersystèmes contre les attaques, sous peine de sanctions coûteuses. Ils devraient également établir des programmes de cybersécurité capables de détecter les incidents graves et de protéger les cybersystèmes critiques.
Yalkin a déclaré aux députés que le nombre d’attaques « de priorité un » signalées par les banques au Canada est passé d’environ 10 incidents en 2022 à 28 en 2023.
« Les incidents prioritaires sont essentiellement les incidents à fort impact qui entraînent une interruption du service ou une fuite de données », a-t-il déclaré, ajoutant que les systèmes financiers sont censés signaler les cyberincidents au BSIF dans les 24 heures.
“Nous observons avec impatience si la trajectoire continue de croître ou non. Il s’agit d’un domaine de risque pour les institutions financières.”
Le projet de loi C-26 a été renvoyé au comité en mars 2023, mais les députés n’ont commencé leur étude du projet de loi que le mois dernier.
S’il est adopté, le projet de loi permettrait également au gouvernement fédéral de déterminer la manière dont les entreprises privées des secteurs critiques réagissent aux attaques potentielles. Mais il est peu probable que cette information soit rendue publique, car le projet de loi interdit également aux organisations de révéler les ordres d’Ottawa visant à réparer leurs systèmes.
Le commissaire à la protection de la vie privée suggère des modifications à la facture
Jusqu’à présent, le comité a entendu que le projet de loi avait besoin d’améliorations.
Yalkin a été rejoint lundi soir par le commissaire à la protection de la vie privée Philippe Dufresne, qui a suggéré qu’il soutenait l’objectif principal du projet de loi, mais a déclaré qu’il nécessitait des ajustements.
« Les services numériques fournis via les cybersystèmes et les réseaux de télécommunications sont essentiels à notre façon de vivre, de travailler et d’interagir, et ont un impact sur de grands volumes de renseignements et de données personnels. C’est pourquoi il est essentiel de protéger la cyberinfrastructure du Canada contre les menaces potentielles. “, a-t-il déclaré lors de son discours d’ouverture.
“Nous devons nous assurer que les efforts visant à sécuriser ces systèmes et réseaux protègent et respectent également le droit fondamental des Canadiens à la vie privée. Il ne s’agit pas d’un jeu à somme nulle.”
Dufresne a souligné les articles du projet de loi qui permettent à une personne spécifiée de collecter et d’analyser des informations, y compris des informations personnelles sensibles détenues par les banques, les opérateurs de télécommunications et les fournisseurs de services énergétiques.
Il a déclaré que le projet de loi permettrait le partage de ces informations avec des organisations telles que les agences de renseignement, les gouvernements provinciaux et étrangers et les organisations établies par des États étrangers.
Dufresne a déclaré que ces pouvoirs sont étendus et a exhorté le comité à ajouter des limites plus strictes.
[ad_2]