Comprendre les cyber-risques pour les administrateurs de régimes de retraite

Alors que les régimes de retraite s'appuient de plus en plus sur la technologie pour leur gestion, l'accent est mis sur la sécurité des actifs et la protection des droits et des intérêts des bénéficiaires des régimes. Les régimes de pension contiennent des quantités importantes de données et d'actifs confidentiels et personnels, ce qui en fait des cibles pour les activités criminelles. 

On attend des administrateurs et des promoteurs de régimes de retraite qu'ils soient prêts à reconnaître, à prévenir ou à minimiser les dommages en cas de cyberrisques. Les conséquences sur la manière dont les administrateurs de régimes de retraite s'acquittent de leur devoir fiduciaire évoluent. Nous résumons ci-dessous quelques mesures pratiques proactives (pour prévenir les risques) et réactives (pour répondre aux risques) que les administrateurs et les promoteurs de régimes peuvent prendre pour atteindre un meilleur niveau de protection contre les cyber-risques pour les actifs et les bénéficiaires des régimes de retraite.

Les autorités de régulation des régimes de retraite ont pris conscience de la montée des cyber-risques et agissent pour renforcer les mesures de protection. Ils intègrent les régimes de retraite dans leurs politiques de lutte contre les cyberrisques. Récemment, en Ontario, en Colombie-Britannique et au niveau fédéral, les organismes de réglementation des pensions ont publié des politiques de gestion des cyber-risques pour les régimes de retraite. En outre, l'Association canadienne des organismes de contrôle des régimes de retraite (ACOR) a publié un document de consultation sur les cyberrisques pour les régimes de retraite. Ces mesures réglementaires sont renforcées par la législation sur la protection de la vie privée, adoptée en Alberta, en Colombie-Britannique et au niveau fédéral, qui a une incidence sur la manière dont les informations personnelles des participants sont recueillies et traitées par les administrateurs de régimes de retraite et d'avantages sociaux.

Qu'est-ce que le cyber-risque ?

Le cyberrisque est le risque de perte financière, de perturbation opérationnelle ou d'atteinte à la réputation résultant d'un accès non autorisé, d'une utilisation malveillante ou non, d'une défaillance, d'une divulgation, d'une perturbation, d'une modification ou d'une destruction des systèmes de technologie de l'information, de l'infrastructure ou des données qu'ils contiennent. Le piratage, les logiciels malveillants, les courriels d'hameçonnage, l'ingénierie sociale et la divulgation d'informations par inadvertance sont autant d'exemples de cyberrisques.

Les cyber-risques comprennent à la fois les risques internes (par exemple, des employés mécontents ou un manque de contrôles d'accès) et les risques externes (par exemple, des hacktivistes, des activistes de menaces parrainées par l'État ou des cybercriminels). Les administrateurs de régimes de retraite et leurs prestataires de services tiers contrôlent des actifs financiers ainsi que des données personnelles et confidentielles, ce qui peut faire d'eux une cible attrayante pour les cybercriminels.

Ce qui constitue un incident cybernétique important sera déterminé en fonction de l'impact sur le régime de retraite, ses actifs et ses membres. Parmi les facteurs qui permettent de déterminer si un cyberincident crée un risque réel de préjudice important figurent la sensibilité des informations personnelles concernées, la population touchée et la probabilité que les informations personnelles soient utilisées à mauvais escient. Un incident important est une décision prise par l'entité victime de la violation et dépend de l'impact que l'incident aura sur les membres du régime, les utilisateurs, les consommateurs ou le grand public. Un cyberincident peut entraîner des pertes financières, des dommages aux systèmes informatiques, des perturbations opérationnelles, des pertes de données, des vols d'identité, des atteintes à la réputation et d'autres conséquences négatives.

Obligations du régime de pension

Dans les régimes de retraite, les administrateurs sont chargés de superviser et de gérer le régime de retraite, y compris l'affiliation, les communications et le paiement des prestations. Pour s'acquitter de ces responsabilités, les administrateurs sont soumis à des obligations fiduciaires en vertu de la common law et de la législation applicable. En tant que fiduciaires, les administrateurs doivent agir avec le soin, la diligence et la compétence qu'une personne faisant preuve d'une prudence normale exercerait dans la gestion des biens d'une autre personne. Ils doivent également utiliser toutes les connaissances et compétences pertinentes qu'ils possèdent ou, en raison de leur profession, de leur activité ou de leur vocation, qu'ils devraient posséder. Pour protéger de manière adéquate les droits et les prestations des affiliés, et pour administrer efficacement le régime de retraite et investir ses actifs, les administrateurs doivent prendre en compte et atténuer les cyber-risques.

Outre les obligations fiduciaires, la législation applicable en matière de retraite et de protection de la vie privée et les politiques réglementaires connexes imposent un cadre à la collecte, à l'utilisation, à la divulgation, à l'entretien, à l'accès et à la conservation des informations personnelles des affiliés par les administrateurs de régimes de retraite et de prévoyance. Les principes de gestion des risques liés aux technologies de l'information et de la communication, y compris le traitement sûr et sécurisé des informations, s'appliquent aux régimes de retraite. Les administrateurs de régimes doivent se conformer au cadre dans le traitement, la protection et la distribution des informations personnelles. Le fait de ne pas se protéger contre les cyberincidents ou de ne pas se conformer au cadre réglementaire peut entraîner un manquement à l'obligation fiduciaire de l'administrateur d'un régime de retraite.

Les administrateurs de régimes de retraite sont également responsables de la mise en œuvre de processus visant à s'assurer que les risques liés aux régimes sont compris et pris en compte. Les cyber-risques sont présents dans plusieurs aspects de l'administration des régimes et doivent être pris en compte lors de la création et de la gestion du cadre administratif. Cela nécessite des mesures à la fois proactives et réactives, comme indiqué ci-dessous. 

En mettant en œuvre les mesures proactives et réactives appropriées, un administrateur de régime minimise également son risque de litige.   C'est un point essentiel dans un climat où l'on assiste à des actions collectives ou à des réclamations individuelles de la part de parties lésées dans des affaires de cyberincidents.

Mesures proactives

Contrôles de protection

Pour assurer une bonne sécurité contre les cyberattaques, les administrateurs de régimes doivent veiller à ce qu'un ensemble de contrôles solides soit mis en place. Ces contrôles peuvent comprendre la mise à jour du matériel et des logiciels, le recours à des experts en technologies de l'information, l'élaboration de meilleures pratiques et la surveillance continue des systèmes et des réseaux pour détecter toute activité inhabituelle ou tout accès non autorisé.

Gouvernance des pensions et des cyber-risques

En tant que mesure proactive, les administrateurs des régimes de retraite devraient intégrer la gestion et le suivi du cyber-risque dans les mêmes cadres de gouvernance et de risque que ceux utilisés pour la surveillance du régime de retraite. Il s'agit notamment d'intégrer des mesures dans les politiques de gouvernance des régimes de retraite et dans les mandats. La cybersécurité recoupe également plusieurs approches de gouvernance qui devraient déjà être en place pour contrôler le respect de la vie privée et la confidentialité des informations de manière plus générale dans l'approche de l'entreprise en matière de technologies de l'information.

La politique de gouvernance des retraites doit prévoir des processus d'identification des risques de cybersécurité et de formation des membres des comités de retraite à la cybersécurité. Les administrateurs devront démontrer qu'ils se sont familiarisés avec les pratiques acceptées par le secteur en matière de gouvernance des régimes et de risques cybernétiques en particulier. Il s'agit notamment de mettre en place un processus continu pour identifier les exigences en matière de formation et les compétences nécessaires à l'administrateur pour s'acquitter de ses tâches en matière de sécurité de l'information. 

En plus de la politique de gouvernance, une politique de cybersécurité distincte et autonome du promoteur du régime concernant l'évaluation et la réduction du risque de cyberincident peut être adoptée ou incluse par référence dans les politiques de gouvernance des régimes de retraite. Toute politique autonome de gestion des risques doit inclure les cybermenaces dans la liste des risques et désigner les personnes appropriées ou une politique spécifique pour traiter les cyberrisques.

Des rôles et des responsabilités bien définis

Les politiques de gouvernance des retraites et le cadre de gestion des risques doivent identifier les principales parties prenantes, y compris le promoteur du régime et les prestataires de services tiers. Les rôles et les responsabilités en matière de cyberrisques doivent être clairement définis, attribués et compris, y compris en ce qui concerne les activités déléguées à des prestataires de services tiers (et à tous les sous-traitants concernés). La documentation relative à la gouvernance doit identifier tous les participants habilités à prendre des décisions concernant les structures, les processus et les contrôles relatifs au cyberrisque, et décrire les rôles, les responsabilités et les obligations de rendre compte de ces participants.

Dispositions relatives à la cybersécurité dans les contrats de service avec des tiers

Les administrateurs de régimes doivent connaître et comprendre les risques cybernétiques liés à l'utilisation de prestataires de services tiers et s'assurer que ces prestataires ont mis en place des contrôles appropriés. Tout contrat conclu avec un prestataire de services doit comporter des dispositions appropriées en matière de cybersécurité, qui correspondent aux objectifs déclarés de l'administrateur du régime en matière d'atténuation des risques. Le niveau de négociation de ces contrats dépendra de l'influence dont disposent les administrateurs de régimes de retraite, étant donné que les prestataires de services doivent désormais mettre en œuvre leurs propres politiques de cybersécurité.

Assurance cybernétique

Il est de plus en plus fréquent que les promoteurs de régimes souscrivent une cyber-assurance en tant que mesure proactive visant à minimiser les pertes en cas de cyber-incident. Ces polices d'assurance ont été modifiées pour tenir compte de l'évolution de la nature du risque cybernétique. La couverture peut inclure une protection dans des domaines tels que la notification d'une violation de données, le remplacement ou la restauration de données, la cyber-extorsion résultant de menaces criminelles, la perte de bénéfices à la suite d'un incident, la protection de la responsabilité en cas de défaillance de la sécurité du réseau ou de la protection d'informations privées, et l'action réglementaire. Souvent, un assureur ne fournira pas d'assurance si l'assuré n'a pas mis en place des protocoles de sécurité minimums. Lors de la souscription d'une cyber-assurance, il est important d'avoir une communication ouverte et claire avec l'assureur concernant l'étendue de la police et les éventuelles exclusions. Une bonne compréhension du risque à assurer est importante pour l'acquisition d'une police d'assurance cybernétique.

Mesures réactives

Si une police d'assurance cybernétique permet de minimiser l'impact d'un incident de cybersécurité, les administrateurs de régimes de pension doivent mettre en place une stratégie pour répondre aux incidents cybernétiques et les signaler. Les politiques et la formation en matière de cybersécurité contribueront non seulement aux mesures préventives, mais aussi à une réaction efficace et rapide en cas d'incident cybernétique. La réaction à un cyberincident dépend de plusieurs facteurs, notamment de la proportionnalité du volume, de la gravité, de la sensibilité et du type d'informations.

L'approche d'un régime de retraite en ce qui concerne le cadre des risques de cybersécurité et la réaction aux incidents dépend également de la taille du régime. Alors que les grands régimes peuvent avoir des plans de résilience aux cyber-événements et des réponses aux incidents spécifiques, les régimes plus petits peuvent s'appuyer fortement sur des fournisseurs de services externes. Un régime plus petit peut exercer une fonction de contrôle plutôt que d'élaborer des politiques ou des pratiques détaillées qui lui sont propres.

Plan de réponse aux incidents / plan de résilience

L'administrateur d'un régime doit élaborer un plan d'intervention en cas d'incident ou un plan de résilience afin d'identifier les scénarios possibles, de définir la stratégie à suivre en cas d'incident cybernétique et de reprendre les activités rapidement et en toute sécurité. L'administrateur du régime doit être prêt à assurer la continuité des activités, la reprise après sinistre et la réponse aux incidents dans le contexte des technologies de l'information. Les plans de résilience couvriront une série de scénarios et la probabilité de différents types d'incidents, de sorte qu'en cas d'incident, les contacts principaux et secondaires comprennent leur rôle et suivent les protocoles.

Signalement des incidents 

L'administrateur d'un régime de retraite doit savoir clairement comment, quand et à qui les incidents cybernétiques doivent être signalés. Les rapports peuvent être adressés au promoteur du régime, à l'administrateur du régime, aux bénéficiaires du régime, à des tiers, aux autorités de surveillance et aux autorités chargées de l'application de la loi. En outre, si un incident se produit au niveau d'un tiers, il convient d'indiquer comment et quand l'administrateur du régime doit être informé, ainsi que l'impact de l'incident sur les bénéficiaires et les actifs du régime.

Avis aux bénéficiaires du régime et aux autorités de réglementation

Les bénéficiaires du régime doivent être informés de tout incident cybernétique ayant une incidence sur leurs prestations, leurs intérêts financiers ou personnels, ainsi que des mesures prises pour atténuer l'impact de l'incident. La nature de la notification à une autorité de surveillance ou à un régulateur dépend de la juridiction applicable, mais s'il existe un risque réel de préjudice important ou si l'incident est significatif, un régulateur doit être notifié dès que possible.

Rétablissement des capacités ou des services 

Le plan de résilience décrira les activités appropriées pour restaurer les capacités ou les services qui ont pu être affectés. Les enseignements tirés d'incidents passés ou de tests aideront à définir les priorités et les politiques de sauvegarde qui facilitent une restauration rapide des services. La réaction de l'administrateur d'un régime de retraite à un cyberincident déterminera l'exposition aux effets préjudiciables sur les actifs ou les bénéficiaires du régime.

Conclusion

À notre époque, la question n'est pas de savoir "si" il y aura un cyberincident, mais "quand". L'administrateur d'un régime de retraite a le devoir de protéger le régime de retraite, ses actifs et ses bénéficiaires contre le risque cybernétique. L'approche du risque cybernétique doit être à la fois proactive, en veillant à ce qu'il y ait des pratiques et des contrôles appropriés pour minimiser l'occurrence et l'impact des incidents cybernétiques, et réactive, en permettant aux parties concernées de restaurer rapidement et efficacement les parties et les services lésés lorsqu'un incident se produit. En raison de la nature évolutive et dynamique de la technologie et des cybercriminels, l'approche de l'administrateur doit être régulièrement réexaminée et mise à jour.