En 2021, quelques jours après que l’Office d’investissement du régime de pensions du Canada a conclu un accord d’investissement de 315 millions de dollars pour une participation de 5 % dans la société SolarWinds Inc. spécialisée en logiciel et basée au Texas, les systèmes de SolarWinds ont subi une attaque de pirates informatiques russes, ce qui a fait chuter le cours de ses actions[1]. Malheureusement, ce type d’incident est devenu monnaie courante à l’échelle mondiale. Il n’est donc pas surprenant de constater que les risques géopolitiques et en matière de cybersécurité sont classés parmi les cinq principales menaces qui planent sur les services financiers au Canada cette année[2]. 

Les relations tendues entre les grandes puissances mondiales représentent de plus en plus un risque dont il faut tenir compte pour les régimes de retraite. Il faut non seulement reconsidérer les investissements, mais aussi la protection des renseignements et des actifs contre les menaces de cybersécurité. Les organismes de réglementation canadiens ont également porté leur attention sur le rôle crucial de la cybersécurité. Ils ont imposé des exigences en matière de gouvernance et ils ont élaboré des lignes directrices reprenant les meilleures pratiques en matière de cybersécurité au vu de l’importance grandissante de celle-ci. 

L’effet de l’environnement géopolitique actuel sur les cyberrisques  

Le monde entier a traversé une période difficile au cours des dernières années. De la pandémie de COVID-19 à l’invasion de l’Ukraine par la Russie, en passant par une escalade des tensions entre les États-Unis et la Chine, il s’ensuit un environnement géopolitique imprévisible. Tandis que les chars ont franchi la frontière ukrainienne au début de l’année 2022, la guerre contre ce pays était déjà en cours depuis des années. L’armée russe a été associée à plusieurs cyberattaques visant à paralyser diverses instances internationales, y compris les infrastructures clés de l’Ukraine. En 2017, l’attaque NotPetya, attribuée à l’armée russe, a mis hors service plusieurs organismes ukrainiens, notamment des banques, des ministères, des compagnies d’électricité et la presse, et a également touché d’autres pays[3]. 

Quelle est l’incidence sur les affaires, et plus particulièrement sur les régimes de retraite? 

Tandis qu’ils sont généralement considérés comme des risques distincts, une fois associés, les risques géopolitiques et les cyberrisques représentent une nouvelle forme de guerre. Durant des années, beaucoup pensaient que les cyberattaques étaient des menaces isolées du secteur technologique, néanmoins, le cyberespace est devenu un champ de bataille qui s’ajoute aux espaces habituels tels que la terre, l’eau et l’air. Contrairement aux autres, le cyberespace offre le plus haut degré d’anonymat et de déni, ce qui élimine potentiellement la possibilité de contraindre les criminels à rendre compte de leurs actes[4]. Cette particularité attire les États-nations qui cherchent à attaquer et à détruire ceux considérés comme des ennemis. En fait, compte tenu des difficultés que la Russie a rencontrées en Ukraine, les cyberattaques visant à paralyser cette dernière auraient augmenté. En effet, la Russie se tourne vers le cyberespace pour ralentir la contre-offensive ukrainienne. 

Il est également peu probable que des poursuites soient engagées à l’encontre des responsables de cybermenace, compte tenu de l’incertitude quant à leur localisation et des problèmes juridictionnels potentiels. 

Les régimes de retraite sont particulièrement vulnérables, car ils contiennent de grandes quantités de données personnelles et financières. Les administrateurs de régimes de retraite doivent plus que jamais faire preuve de vigilance pour se protéger non seulement contre les menaces nationales, mais aussi contre les dangers provenant de l’étranger. 

Comment les régimes de retraite ont-ils été affectés?

En 2022, Hong Kong Watch, l’organisme britannique de surveillance des droits de la personne, a publié un rapport appelant à cesser les investissements des régimes de retraite canadiens en Chine compte tenu de l’invasion de l’Ukraine par la Russie[5]. Au début de l’année 2023, le Régime de retraite des enseignantes et des enseignants de l’Ontario aurait interrompu les transactions privées conclues avec la Chine en raison du risque géopolitique[6]. Les régimes de retraite canadiens évaluent l’environnement géopolitique et doivent faire des choix difficiles pour atténuer les risques croissants causés par l’invasion de l’Ukraine par la Russie et les tensions avec la Chine. 

Les données relatives aux atteintes à la cybersécurité au Canada ne sont pas facilement accessibles, car les exigences en matière de notification varient et, pour la plupart, ne prévoient que la communication des atteintes importantes au commissaire ou à l’organisme de réglementation compétent en matière de protection de la vie privée. Cependant, si l’on observe ce qui se passe dans d’autres parties du monde, on peut s’attendre à ce que les régimes de retraite canadiens soient confrontés à des risques similaires. Au Royaume-Uni, l’Information Commissioner’s Office (bureau du commissaire de l’information) a indiqué que depuis le début de la pandémie de COVID-19, il y a eu en moyenne cinq cyberattaques par mois contre des régimes de retraite[7]. Aux Pays-Bas, 5 % des régimes de retraite ont fait l’objet de cyberattaques, ce qui a contraint les organismes néerlandais de réglementation des retraites à tirer la sonnette d’alarme et à demander que tous les régimes de retraite intègrent désormais la sécurité informatique dans leur cadre d’évaluation[8]. Les chiffres sont probablement beaucoup plus élevés si l’on tient compte des tiers auxquels les administrateurs de régimes de retraite font appel.

Quelles mesures peuvent être mises en place pour atténuer les risques? Les organismes de réglementation canadiens ont commencé à s’intéresser aux pratiques exemplaires pour s’assurer que les administrateurs de régimes de retraite s’acquittent de leur obligation fiduciaire. 

L’avis des organismes de réglementation canadiens

Bien qu’il n’existe pas de moyen infaillible de protéger complètement une organisation contre une cyberattaque, des sondages montrent que le montant des dépenses consacrées à la cybersécurité au Canada entre 2019 et 2021 a augmenté de 2,8 milliards de dollars pour atteindre 9,7 milliards de dollars[9]. En raison du passage au travail à domicile pendant la pandémie et des risques de sécurité qui en découlent, nous nous attendons à ce que ce chiffre soit beaucoup plus élevé aujourd’hui. 

À l’instar d’autres juridictions, les organismes de réglementation canadiens veillent de plus en plus à ce que les administrateurs de régimes de retraite s’acquittent de leur obligation fiduciaire en mettant en œuvre des procédures et des politiques de gouvernance appropriées, notamment en tenant compte des risques liés à la cybersécurité. L’Association canadienne des organismes de contrôle des régimes de retraite (ACOR), qui compte parmi ses membres tous les organismes canadiens de réglementation des régimes de retraite, a publié des lignes directrices sur le cyberrisque et les critères environnementaux, sociaux et de gouvernance (ESG) dans le cadre de ses orientations en matière de gestion des risques.

Outre l’ACOR, plusieurs organismes de réglementation fédéraux et provinciaux ont publié des lignes directrices, ou ils consultent leurs parties prenantes à ce sujet. Par exemple, la ligne directrice sur la gestion du risque lié aux technologies et du cyberrisque (ligne directrice B-13) du Bureau du surintendant des institutions financières (BSIF), la proposition de lignes directrices en matière de gestion des risques liés aux technologies de l’information de l’Autorité ontarienne de réglementation des services financiers (ARSF) et les lignes directrices sur l’externalisation et la sécurité de l’information de la British Columbia Financial Services Authority (autorité des services financiers de la Colombie-Britannique), ou BCFSA.

Les lignes directrices fournies par les organismes de réglementation canadiens sont fondées sur des principes et donnent des indications sur l’élaboration de procédures et de processus basés sur la proportionnalité et l’évaluation des risques par l’administrateur du régime de retraite. 

Plusieurs juridictions ont également des exigences législatives concernant les politiques de gouvernance, notamment au fédéral ainsi que pour les régimes réglementés par les provinces de la Colombie-Britannique, de l’Alberta, du Manitoba, du Québec, du Nouveau-Brunswick et de l’Ontario, et pour les régimes à prestations cibles (d’autres exigences sont attendues pour d’autres types de régimes). Dans ce cadre, la législation impose aux administrateurs de régimes de déterminer les risques importants qui menacent les régimes et d’établir des contrôles internes pour gérer ces risques. Avec l’adoption de lignes directrices en matière de cybersécurité, nous nous attendons à ce que les organismes se concentrent sur la mise en place de processus et de procédures de gouvernance appropriés pour gérer le cyberrisque. 

Pratiques exemplaires

Dans le cadre de l’introduction d’une structure de gouvernance tenant compte de la cybersécurité, les administrateurs de régimes de retraite doivent inclure les parties concernées dans le processus, notamment les professionnels de TI, la direction et les responsables de la protection de la vie privée. Les exercices de simulation visant à tester la gestion des interventions en cas d’incident sont importants pour aider chacun à comprendre son rôle et ses responsabilités, ainsi que les politiques et procédures documentées. 

En outre, l’implication des employés permettra de mieux faire connaître les politiques. Il est important d’offrir des possibilités de formation continue, voire obligatoire, car plus de 80 % des incidents liés à la perte de données sont dus à une erreur humaine. 

Étant donné que la plupart des entreprises externalisent diverses responsabilités et tâches liées à l’administration de leurs régimes de retraite, l’examen des fournisseurs de services tiers constitue un élément majeur de la gestion des risques. Il est essentiel que les administrateurs de régimes de retraite comprennent que, même s’ils peuvent déléguer certaines tâches à des tiers, ils conservent leur responsabilité fiduciaire. À ce titre, ils doivent donc s’assurer que leurs fournisseurs ont mis en place des processus et des systèmes de cybersécurité appropriés. Cela peut, et devrait, également se faire au moyen de contrats comportant les clauses appropriées, y compris des dispositions relatives à la sous-traitance, à la protection de la vie privée et à la conservation des documents, à la notification des atteintes à la vie privée, à l’assurance, etc. 

Bien que de nombreuses entreprises aient porté leur attention sur la cybersécurité au vu de l’environnement géopolitique, il est toujours possible d’améliorer leurs mesures de protection, surtout que l’on constate de plus en plus de nouveaux risques et de nouvelles méthodes d’attaque, de fraudes et de menace contre les systèmes.