Cyberrisque et réglementation bancaire

Allocution du surintendant Peter Routledge lors du Sommet sur les services bancaires numériques de BMO Marchés des capitaux, Toronto, Ontario, le 20 septembre 2022

LE TEXTE PRONONCÉ FAIT FOI

Bonjour à toutes et à tous. Merci, Sohrab (Movahedi, directeur général, Recherche sur les actions, BMO), pour cette aimable présentation et pour m’avoir invité à prendre la parole aujourd’hui.

Pour commencer, je tiens à souligner que nous sommes réunis aujourd’hui sur le territoire traditionnel de nombreuses nations, dont les Mississaugas de New Credit, les Anishnabeg, les Chippewas, les Haudenosaunees et les Wendats. Je le mentionne, car je crois que la reconnaissance et la réconciliation avec les peuples autochtones sont des concepts importants que tous les Canadiens devraient comprendre. La guérison de ces blessures et l’édification de notre nation en dépendent. Dans cette optique, je vous conseille vivement la lecture du rapport final de la Commission de vérité et réconciliation du Canada.

Entrons maintenant dans le vif du sujet. Certes, l’inflation galopante et la hausse des taux d’intérêt ont quelque peu ralenti l’économie. Je tiens toutefois à vous assurer que, de l’avis du BSIF, la santé et la stabilité de notre système financier ne s’en trouvent pas pour autant menacées. Preuve en est, la dernière faillite bancaire remonte à plus d’un quart de siècle. Par ailleurs, nous constatons que le secteur bancaire fait preuve d’innovation pour tirer parti de la numérisation des services financiers.

Malgré tout, il faut être conscient que les avancées technologiques menacent de tous nous prendre de vitesse. En effet, l’émergence rapide de nouvelles technologies (comme l’informatique quantique) et l’arrivée de nouveaux acteurs spécialisés dans les technologies de pointe font bouger les lignes, voire perturbent le secteur bancaire. Certains nouveaux produits, services ou technologies qui ont été lancés dernièrement – ou qui le seront prochainement – sortent du périmètre réglementaire actuel. Or, s’ils présentent de nouveaux risques, ils peuvent aussi apporter des avantages supplémentaires aux consommateurs canadiens.

Au BSIF, accroître la confiance du public envers le système financier du Canada oriente tout ce que nous faisons : voilà la façon dont nous envisageons notre mandat. Cela dit, nous pensons que la population canadienne s’attend à ce que le BSIF modère, et non limite outre mesure, les innovations, d’une manière qui favorise la stabilité financière. Notre objectif est donc d’encourager la concurrence par l’innovation et la prise de risque raisonnable, mais pas au détriment de la stabilité du système financier et encore moins à celui de la confiance que témoigne la population à ce système.

Au vu de ces enjeux, voyons maintenant ce que fait le BSIF

Premièrement, nous travaillons à définir une approche de la numérisation qui repose sur le principe suivant : qui dit même activité, dit même risque et même règle. Manifestement, nous voulons favoriser l’innovation dans les services financiers, car elle profite aux consommateurs. Vous conviendrez toutefois qu’il est plus prudent que la valeur ajoutée et les avantages apportés par les nouvelles technologies soient encadrés par la réglementation. De fait, nous voulons éviter d’avoir à créer un nouveau système réglementaire pour ces technologies. Notre but est plutôt de faire évoluer le contexte réglementaire actuel de concert avec les avancées technologiques du secteur, et ce, selon le principe énoncé plus tôt : « même activité, même risque, même règle ».

Permettez-moi de vous donner un exemple. Dans le but de mieux orienter la manière dont les institutions financières fédérales, ou IFF, doivent gérer le risque lié aux technologies et le cyberrisque, en juillet dernier, le BSIF a publié la ligne directrice B-13 qui énonce les saines pratiques de gestion de ce type de risques. Le document précise notamment qu’il n’y a pas d’approche universelle de gestion du risque lié aux technologies et du cyberrisque, compte tenu des risques et des vulnérabilités uniques qui varieront selon la taille de l’IFF, la portée et la complexité de ses activités et son profil de risque. Cette ligne directrice doit être lue et mise en œuvre dans une optique fondée sur le risque qui permet aux IFF d’être concurrentielles et de tirer pleinement parti de l’innovation numérique tout en assurant une saine gestion du risque lié aux technologies.

Le « test de cyberrésilience fondé sur le renseignement » est l’un des autres chantiers du BSIF qui permettra aux IFF de prendre des mesures proactives pour renforcer leur cyberrésilience, à mesure qu’elles innovent et exécutent leurs plans de transformation numérique. En effet, à l’instar d’autres autorités de réglementation de premier plan, nous mettons à l’essai notre propre test de cyberrésilience fondé sur le renseignement pour aider les IFF à détecter les faiblesses de leurs contrôles technologiques et de cybersécurité, et à tester leur cyberrésilience.

Nous travaillons par ailleurs au recadrage de notre ligne directrice sur l’impartition d’activités, car nous sommes conscients que les professionnels du secteur des services financiers ont, depuis longtemps, recours à des ententes avec des tiers pour atteindre de nombreux objectifs :

• gagner en efficacité;
• favoriser l’innovation;
• suivre l’évolution des besoins opérationnels; et
• optimiser les services offerts.

Les ententes avec des tiers évoluent rapidement et prennent de l’ampleur. De fait, les IFF se tournent de plus en plus vers l’écosystème de tiers pour offrir des services ou exercer des activités essentielles. Par voie de conséquence, la complexité opérationnelle s’est accentuée, et les IFF sont exposées à un risque accru de subir des pertes financières et de ne pas être en mesure de fournir des services essentiels par suite de perturbations chez un tiers (ou chez un sous-traitant dont dépend un tiers). Souvenons‑nous, par exemple, de la panne du réseau Rogers en juillet qui a touché des millions de Canadiens et causé des dysfonctionnements majeurs, perturbant notamment les appels au 911 et les retraits aux guichets automatiques.

Par ailleurs, l’émergence d’un petit nombre de fournisseurs de services dominants dans des segments clés de l’économie accentue ce risque. Des perturbations chez un ou plusieurs de ces fournisseurs pourraient entraîner un événement systémique si elles empêchaient de nombreuses institutions de fournir rapidement des services à leurs clients, ce qui pourrait avoir une incidence sur la résilience financière et la réputation de vos institutions.

En vue d’atténuer ce risque, nous travaillons actuellement au recadrage de la ligne directrice B-10, Impartition d’activités, de fonctions et de méthodes commerciales, pour axer nos consignes sur la gestion du risque lié aux tiers. L’élargissement de la portée de cette ligne directrice nous permet de mieux tenir compte d’un ensemble plus complet de risques liés aux tiers, comme le cyberrisque et les risques liés aux données, à la chaîne d’approvisionnement et à la sous-traitance, dans un écosystème de tiers plus vaste et en constante évolution.

En introduisant les concepts de risque et d’importance relative au cœur de cette approche fondée sur le risque, la version révisée de la ligne directrice mettra davantage l’accent sur la gouvernance et les programmes de gestion du risque pour orienter l’étendue des mesures de gestion du risque lié aux tiers que doivent prendre les institutions.

Elle établira par ailleurs des attentes à l’égard des institutions qui sont axées sur les résultats et exprimées sous forme de principes de manière à favoriser une saine gestion du risque lié aux tiers tout au long du cycle de vie de ces ententes.

Pour le BSIF, la ligne directrice B-10 est un outil de gestion du risque prudentiel important, car elle permettra de rendre le système plus sûr. Les consignes qui y seront énoncées devront toutefois avoir été mûrement réfléchies pour s’assurer qu’elles sont adaptées aux objectifs. Nous essayerons donc de trouver un juste équilibre entre la sécurité qu’offrent des normes prudentielles et la possibilité d’une saine concurrence. D’un côté, nous attendons des acteurs actuels qu’ils gèrent le risque lié aux tiers de manière prudente et sûre. De l’autre, nous cherchons à éviter que la gestion du risque prudentiel devienne un obstacle à l’établissement de nouvelles entités et de nouveaux tiers fournisseurs de services. Nous voulons qu’ils offrent une valeur ajoutée aux clients du système dès que possible et, parallèlement, qu’ils comprennent et atténuent adéquatement les risques qui y sont associés. Si ces nouveaux acteurs exercent une activité relative aux services financiers qui est réglementée, ils devront suivre les mêmes règles que les acteurs actuels.

Deuxièmement, pour suivre le rythme de l’innovation numérique, nous allons parfaire notre processus d’agrément afin que les nouvelles entités puissent être intégrées au système réglementaire plus vite et de manière plus sûre. Ne vous y trompez pas : notre objectif est bel et bien de gérer le risque et non de brider l’innovation et la croissance. À cette fin, nous allons évaluer les risques posés par les innovations technologiques à mesure que les différents acteurs les appliquent aux services financiers. Nous nous efforcerons par ailleurs de mieux comprendre les modèles d’affaires non traditionnels, car bon nombre des innovations technologiques dans les services financiers sont attribuables à des acteurs non traditionnels. Si le principe « même activité, même risque, même règle » continue de s’appliquer, il n’en demeure pas moins que nous voulons que le processus d’agrément tienne compte de la taille, de la complexité et du profil de risque de chaque institution.

Lorsque nous avons lancé la consultation sur la ligne directrice B-10, nous avons demandé aux différentes parties prenantes ce qu’elles pensaient de notre processus actuel et ce que nous pourrions faire pour l’améliorer. De toute évidence, nos travaux tiendront compte des commentaires reçus. Les avancées technologiques n’étant pas spécifiques au système financier canadien, nous examinons également ce que font nos homologues internationaux. Nous cherchons à comprendre tant les similitudes que les différences par rapport au contexte canadien, ainsi que la manière dont d’autres pays abordent la numérisation des services financiers.

En fin de compte, notre but est de parfaire le processus d’agrément pour qu’il soit adapté aux objectifs. Pour ce faire, nous tiendrons compte des pratiques d’évaluation et de gestion du risque propres aux différents modèles d’affaires, tout en permettant aux institutions et aux nouvelles entités de se livrer concurrence et de prendre des risques dans un environnement en rapide mutation. Nous voulons que le processus suive l’évolution du contexte et puisse être adapté au besoin, et nous envisageons donc différentes approches que nous mettrons à l’essai pour en tirer des leçons. En bref, nous cherchons à obtenir un processus clair, transparent, efficace et fondé sur le risque.

Si nous n’en sommes qu’aux premières étapes de ce projet, sachez que nous continuerons de collaborer avec les différentes parties prenantes, dont les professionnels du secteur et nos partenaires fédéraux et provinciaux, à mesure que nos travaux progressent.

Troisième et dernièrement, nous nous penchons de très près sur la question des cryptomonnaies dites « stables », qui constituent un élément important dans le paysage émergent des innovations en matière de monnaie électronique. À la différence des autres formes de cryptomonnaies, toujours plus nombreuses, la valeur d’une cryptomonnaie stable est ancrée à celle d’une autre devise, d’un produit de base ou d’un autre type d’instrument financier.

Bien que ce ne soit pas toujours le cas, ces ancrages sont généralement adossés à des actifs traditionnels comme des devises, des obligations d’État, des papiers commerciaux, voire d’autres actifs numériques. Or, certains affirment que les cryptomonnaies stables sont comparables à des banques. Si tel est le cas, ne devraient‑elles pas être réglementées comme des banques?

Voilà pourquoi nous travaillons en étroite collaboration avec nos partenaires fédéraux et provinciaux pour garantir que l’approche réglementaire qu’adoptera le Canada à l’égard des cryptomonnaies stables est adéquate et concertée. Parallèlement, nous collaborons avec divers interlocuteurs fédéraux et organismes internationaux pour évaluer les répercussions de la monnaie électronique sur nos cadres réglementaires. Nous prévoyons notamment de fournir des précisions sur les volets de la gestion du risque et de la gouvernance qui sont propres aux dispositifs de cryptomonnaies stables.

Les projets dont je vous ai parlé aujourd’hui constituent des éléments importants de notre approche, en constante évolution, de l’environnement de risque actuel. Nous voulons veiller à ce que les institutions financières que nous surveillons adoptent une vision à long terme pour assurer leur santé financière et contribuer, de manière plus générale, à la prospérité et à la stabilité de la société.

Certes, personne ne peut prédire l’avenir, mais nous pouvons essayer de le construire ensemble en jetant des bases prudentes dès maintenant pour nous prémunir contre les chocs auxquels nous devrons faire face dans les prochaines années, quelle qu’en soit la source.

Je vous remercie de votre attention.