Harmoniser les signalements des cyberincidents – Une étape vers une réglementation plus prévisible

Communiqué

Lorsqu’un cybercriminel tente d’attaquer un assureur ou une tierce partie, l’assureur doit agir rapidement, non seulement pour contenir la menace, mais aussi pour signaler l’incident aux organismes de réglementation. Mais cette tâche est plus complexe et prend plus de temps qu’on pourrait s’y attendre, car les règles de signalement diffèrent considérablement d’une province à l’autre.  

Les assureurs sont bien au courant du risque cybernétique. L’industrie maintient depuis longtemps de solides protocoles de cybersécurité et de protection des renseignements personnels et possède une expertise approfondie en gestion des risques. Certains assureurs offrent également une cyberassurance à des clients commerciaux. Toutefois, à mesure que la menace s’intensifie, même les organisations les plus sophistiquées peuvent être ciblées par une cyberattaque (en anglais seulement). 

Un rapport bienvenu du CCRRA 

C’est pourquoi un nouvel énoncé de position du Conseil canadien des responsables de la réglementation d’assurance (CCRRA) est le bienvenu. Il reconnaît le fardeau réglementaire créé par les exigences incohérentes en matière de signalements des cyberincidents d’une province à l’autre et trace la voie vers une plus grande harmonisation et clarté. 

Le rapport du CCRRA, « Harmonisation des cadres de signalement des incidents », confirme bon nombre des défis que les assureurs ont soulevés au cours des dernières années, y compris un manque de terminologie commune, des délais de signalement incohérents, et un manque de clarté quant au seuil de ce qui constitue un incident à signaler. Le rapport reconnaît également qu’au cours des premières étapes d’un incident, il est prématuré de demander aux assureurs de produire un rapport complet, car de courts délais de signalement peuvent détourner des ressources des efforts d’intervention d’urgence. 

Le document formule des recommandations clés sur tous ces fronts, y compris des règles plus claires sur le moment où les incidents doivent être signalés, des délais plus souples et des normes de signalement uniformes entre les provinces et les territoires. Il favorise également des règles de signalement souples qui tiennent compte du fait que les cyberincidents ne sont pas tous aussi graves et que les institutions financières varient en taille et en capacité. 

Ces recommandations s’harmonisent étroitement avec un appel de longue date en faveur d’une approche nationale uniforme en matière de signalement des incidents par le Bureau d’assurance du Canada (BAC) et l’Association canadienne des compagnies d’assurances de personnes (ACCAP). Dans des soumissions antérieures, nos industries ont exhorté les organismes de réglementation à accepter un seul rapport – celui utilisé par le Bureau du surintendant des institutions financières (l’organisme fédéral de réglementation de la solvabilité financière du Canada) – comme étant suffisant dans toutes les administrations. Un seul rapport aiderait à faire en sorte que les ressources de l’assureur demeurent concentrées sur la gestion de l’incident, et non sur la paperasse. 

La nécessité d’une réglementation harmonisée va au-delà du signalement des cyberincidents. Qu’il s’agisse du signalement des incidents ou de la capacité des experts en sinistres autorisés ou des agents d’assurance vie autorisés de travailler dans toutes les provinces, les règles incohérentes demeurent un défi récurrent dans le secteur de l’assurance. Ces « incohérences » peuvent limiter la réactivité et réduire l’efficacité du système lorsque les deux sont nécessaires de toute urgence. 

Un plan directeur pour une réglementation plus harmonisée  

L’énoncé de position du CCRRA montre ce qui est possible lorsque les organismes de réglementation travaillent ensemble pour réduire la fragmentation. Proposer une approche plus coordonnée en matière de signalement des cyberincidents offre un plan directeur pratique sur la façon dont l’harmonisation peut améliorer la clarté, réduire le dédoublement des efforts, éliminer les obstacles interprovinciaux et renforcer le système dans son ensemble. 

L’élargissement de ce type d’approche à d’autres domaines de réglementation serait bénéfique pour tout le monde. Pour les assureurs, cela créerait une plus grande prévisibilité et libérerait des ressources pour mettre l’accent sur l’innovation et le service. Pour les organismes de réglementation, cela simplifierait la surveillance et améliorerait la coordination. Tout cela est dans l’intérêt ultime des consommateurs, c’est-à-dire un service et des produits plus adaptés, une innovation améliorée et des économies de coûts au fil du temps.  

Alors que le Canada fait face à des pressions économiques et concurrentielles croissantes, la nécessité d’harmoniser la réglementation est plus urgente que jamais. C’est essentiel pour maintenir la compétitivité du Canada sur la scène mondiale et attirer des investissements dans notre économie. L’industrie de l’assurance encourage le CCRRA à poursuivre son leadership en faisant progresser cette approche au-delà du signalement des cyberincidents. Notre industrie est prête à appuyer les efforts visant à cerner et à mettre en œuvre d’autres possibilités d’harmonisation.