Lorsqu’un cybercriminel s’en prend à un assureur ou à l’un de ses tiers, l’assureur doit agir rapidement pour contenir la menace et signaler l’incident aux organismes de réglementation. Or, cette tâche est plus complexe et longue que l’on pourrait penser, car les règles en matière de signalement varient considérablement d’une province à l’autre.
Les assureurs sont bien conscients des risques liés à la cybersécurité. Le secteur applique depuis longtemps des procédures strictes en matière de cybersécurité et de confidentialité et maîtrise parfaitement la gestion des risques. Certaines compagnies d’assurance proposent même une cyberassurance à leurs clients commerciaux. Cela dit, à mesure que les menaces se multiplient, même les entreprises les plus sophistiquées peuvent être la cible d’une cyberattaque.
Un énoncé du CCRRA bien accueilli
C’est dans ce contexte précis que l’énoncé de position du Conseil canadien des responsables de la réglementation d’assurance (CCRRA) trouve toute sa pertinence. Le CCRRA reconnaît le fardeau réglementaire créé par le manque d’uniformité à l’échelle des provinces quant aux exigences en matière de signalement de cyberincidents et propose une approche visant à accroître l’harmonisation et la clarté.
L’énoncé de position du CCRRA intitulé « Harmonisation des cadres de signalement des incidents» [en anglais seulement] vient confirmer bon nombre des défis soulevés par les assureurs ces dernières années, notamment l’absence de terminologie commune, une disparité des délais de signalement et un manque de clarté quant aux critères permettant de déterminer si un incident doit être signalé. L’énoncé reconnaît également qu’il ne faudrait pas exiger des assureurs un rapport détaillé peu après un incident, puisque des délais de signalement trop courts risquent d’accaparer le temps des intervenants devant prendre des mesures urgentes.
Les recommandations formulées dans l’énoncé comprennent des règles plus claires concernant le signalement d’incidents, des délais plus flexibles et des normes de signalement uniformes dans l’ensemble des provinces et des territoires. Le CCRRA préconise également des règles de signalement souples tenant compte du fait que la gravité des cyberincidents peut varier et que les institutions financières ne sont pas toutes de la même taille ni dotées des mêmes capacités.
Ces recommandations s’inscrivent dans une démarche amorcée il y a longtemps par le Bureau d’assurance du Canada (BAC) et l’Association canadienne des compagnies d’assurances de personnes (ACCAP) visant à harmoniser les pratiques nationales en matière de signalement d’incidents. Dans des mémoires précédents, les secteurs concernés ont exhorté les organismes de réglementation à accepter et à utiliser dans l’ensemble des provinces et des territoires un seul rapport, celui dont se sert le Bureau du surintendant des institutions financières (l’organisme fédéral de réglementation de la solvabilité financière au Canada). En utilisant un seul et même rapport, les assureurs pourraient consacrer leur temps à gérer les incidents plutôt qu’à remplir des documents administratifs en double.
La nécessité d’une réglementation harmonisée va au-delà du signalement de cyberincidents. L’incohérence des règles demeure un défi récurrent dans le secteur de l’assurance. Celle-ci affecte aussi bien le signalement des incidents que la capacité des experts en sinistres ou des agents d’assurance-vie titulaires d’un permis à travailler dans une autre province. Ces « discordances » risquent non seulement de limiter la capacité de réponse, mais aussi de réduire l’efficacité du système à des moments où ces deux éléments sont indispensables.
Un plan d’action pour une réglementation plus harmonisée
L’énoncé de position du CCRRA démontre ce qui peut être accompli si les organismes de réglementation collaborent afin de réduire la fragmentation. Le CCRRA propose une approche concertée en ce qui a trait au signalement de cyberincidents et présente un plan d’action pour harmoniser les pratiques dans le but d’améliorer la clarté, de réduire le travail en double, d’éliminer les obstacles interprovinciaux et de renforcer le système dans son ensemble.
Cette approche pourrait même être adoptée dans d’autres champs de la réglementation pour que tous en bénéficient. En ce qui concerne les assureurs, cela permettrait d’améliorer la prévisibilité et de libérer des ressources afin de se concentrer sur l’innovation et la prestation de services. Pour ce qui est des organismes de réglementation, cela simplifierait la surveillance et améliorerait la coordination. Les plus grands gagnants seraient les assurés, qui bénéficieraient de services et de produits plus efficaces et innovants ainsi que d’économies à long terme.
Alors que le Canada fait face à des pressions économiques et concurrentielles croissantes, le besoin d’harmonisation réglementaire se fait plus urgent que jamais. Une telle harmonisation est essentielle pour maintenir la compétitivité du Canada sur la scène internationale et attirer les investissements dans notre économie. Non seulement le secteur de l’assurance encourage le CCRRA à poursuivre son initiative d’étendre cette approche au-delà du signalement des cyberincidents, mais il est aussi prêt à soutenir les efforts déployés pour identifier et mettre en œuvre de nouvelles mesures visant l’harmonisation.
