Le BSIF révise son « Regard annuel sur les risques »

Le Bureau du surintendant des institutions financières (BSIF) met à jour son « Regard annuel sur les risques » publié au printemps. Résultat, si les quatre catégories de risques prépondérants persistent, les risques liés à l’intégrité et à la sécurité continuent de s’intensifier et de se multiplier. 

Pour rappel, au printemps le BSIF avait ciblé quatre catégories de risques prépondérants, à savoir :

• les risques liés aux prêts hypothécaires et aux prêts garantis par un bien immobilier ;
• les risques de crédit liés aux services financiers aux entreprises (aussi appelés services de gros) ;
• les risques de financement et de liquidité ;
• et les risques liés à l’intégrité, à la sécurité et à l’ingérence étrangère.

Ces quatre familles de risque n’ont pas disparu, toutefois deux risques liés à l’intégrité et à la sécurité ont pris de l’importance depuis la publication du Regard annuel sur le risque : les risques pour la résilience opérationnelle et les risques liés à l’intelligence artificielle (IA).

En effet, les méthodes employées par les criminels financiers pour réaliser des cybercrimes, du blanchiment d’argent et des fraudes deviennent de plus en plus sophistiquées. Il est donc essentiel que les institutions financières accordent une priorité élevée à la réduction de ces menaces.

Le BSIF s’attend à ce que les institutions financières redoublent d’efforts pour renforcer les contrôles et assurer leur conformité, car les failles de gouvernance en matière d’intégrité et de sécurité au sein de ces institutions engendrent des risques opérationnels, financiers, de conformité, sans compter qu’elles peuvent nuire à leur réputation.

Quant aux risques liés aux tiers, le BSIF souligne que les institutions dépendent fortement d’un réseau complexe de tiers et de technologies. Certains services tiers desservent d’ailleurs plusieurs institutions financières, ce qui ne manque pas d’inquiéter le BSIF. Car si un incident affectait l’un de ces tiers, cela risquerait d’impacter simultanément plusieurs institutions. Sans compter que cela expose également ces institutions à des risques liés à des incidents survenant en dehors du Canada.

Finalement le BSIF observe une accélération des cyberincidents. Toujours plus de rançongiciels et de fuites de données sont rapportés dans le monde entier. En raison de la rapidité et de l’ampleur des innovations technologiques, ainsi que de l’interconnectivité croissante des systèmes, de nouvelles vulnérabilités émergent constamment ou sont découvertes, prévient le BSIF.

Finalement, le dernier risque qui fait frémir le BSIF est les progrès rapides réalisés en matière d’intelligence artificielle (IA) générative. Les institutions financières ont adopté nombre d’outils en IA générative.

Cependant, ces avancées en matière d’IA générative peuvent à la fois transformer et aggraver les risques déjà présents, tout en engendrant de nouveaux défis. Par exemple :

• Une augmentation des risques liés à la cybersécurité et aux fournisseurs tiers ;
• Une intensification des activités de fraude et de blanchiment d’argent ;
• Le risque que des préjugés et des discriminations altèrent le processus décisionnel ;
• Des préoccupations concernant la confidentialité et la qualité des données ;
• Une hausse du risque de modélisation ;
• Un risque d’atteinte à la réputation.

En fin de compte, la facilité d’accès aux outils d’IA générative pourrait compromettre la résilience opérationnelle, l’intégrité et la sécurité des institutions, avertit le BSIF.

Les mesures prises par le BSIF

Pour tenter d’atténuer ces risques, le BSIF évalue l’état de préparation des institutions à faire face aux risques liés à l’intégrité et à la sécurité, aux tiers, aux technologies et à la cybersécurité. Ils s’intéressent également aux plans de continuité des activités et aux plans de reprise après sinistre des institutions, ainsi qu’aux plans d’urgence internes visant les tiers. 

Cette collecte de données permet au BSIF de mieux comprendre le risque de concentration systémique et des tendances associées.

Le BSIF travaille également sur des consignes réglementaires pour aider les institutions financières à faire face à ces risques. Pour le T4, le BSIF travaille sur un « Avis relatif à la réglementation sur la gestion du risque lié à la culture » afin de parachever les attentes en matière de gestion du risque lié à la culture.

Il compte également publier :

• une version finale de la norme internationale d’information financière 17 (IFRS 17) ;
• une version révisée finale de la ligne directrice NL ;
• une version révisée finale de la ligne directrice Test de suffisance du capital des sociétés d’assurance hypothécaire (TSAH) ;
• et une version révisée finale de la ligne directrice Test de suffisance du capital des sociétés d’assurance vie (TSAV).

Et pour le début de l’an prochain, le BSIF compte lancer une consultation sur la gestion de la conformité à la réglementation, en plus de publier :

• une version révisée finale de la ligne directrice sur le régime au regard des normes de fonds propres et de liquidité visant les cryptoactifs ;
• une version finale de la ligne directrice sur la communication publique des expositions sur cryptoactifs
• et une version révisée à l’étude de la ligne directrice Normes de fonds propres (NFP).