« Les gens sont humains et les gens font des erreurs, a déclaré Susan Wolburgh Jenah, dans une entrevue exclusive avec Investment Executive, la publication sœur de Finance et Investissement. Donc, je ne vais pas m’asseoir ici et garantir que quelque chose de semblable ne pourrait pas arriver à nouveau. »
« Nous devons nous assurer que nous avons mis en place des normes qui répondent aux meilleures pratiques et que nous faisons tout notre possible pour former les gens afin de leur faire prendre conscience qu’ils doivent être des partenaires dans la sécurité de l’information », a-t-elle ajouté.
En avril, l’OCRCVM dévoilait qu’elle avait égaré un appareil mobile qui contenait les informations personnelles des clients de 32 firmes de courtage. Selon la politique de sécurité informatique de l’OCRCVM, tous les appareils de ce genre devaient être protégés par un mot de passe et un système de cryptage. Toutefois, l’appareil perdu, qui serait un ordinateur portable selon des sources, était protégé par un mot de passe, mais n’était pas crypté.
Depuis cet incident, l’OCRCVM a ainsi révisé l’ensemble de son processus interne afin d’identifier les possibles améliorations à son régime de sécurité. En plus d’ausculter ses politiques et protocoles, le régulateur revoit la façon dont il reçoit les informations des entreprises qu’il surveille, la façon dont il stocke et dispose l’information. « Nous nous penchons sur ce qui touche à la technologie de l’information, mais aussi à la gestion de l’information, qui est un sujet beaucoup plus vaste », a-t-elle dit.
Un travail qui prend du temps
Après la perte de l’appareil mobile, l’OCRCVM a embauché une firme externe pour l’aider à procéder à son examen interne. En avril, l’OCRCVM, qui gère toutes les mesures de sécurité à travers son département informatique, affirmait que l’ajout d’une capacité à détruire des données à distance était une priorité majeure.
Cependant, l’OCRCVM est encore en train de mettre à l’essai la technologie qui peut fournir ce service et, par conséquent, elle n’a pas encore été mise en place. « Nous sommes impatients de passer à travers ce processus le plus tôt possible. Nous voulons nous assurer que, dans la mesure où il y a des choses que nous pourrions faire différemment, nous allons les faire rapidement, », a ajouté Wolburgh Jenah.
Réviser l’ensemble des processus de l’OCRCVM peut prendre de quelques semaines à plusieurs mois à mener à terme, a déclaré Larry Keating, président-directeur général de No Panic Computing, une entreprise qui se spécialise dans la protection des données.
« Le temps qu’il faut pour entreprendre un changement de politique ou d’un examen de sécurité varie considérablement. Il dépend de la nature de la politique de sécurité, de la taille de l’organisation et de lacomplexité de son environnement informatique », a mentionné Larry Keating.