Le cyberincident survenu à l’Organisme canadien de réglementation des investissements (OCRI) en août 2025 semble avoir entaché la perception qu’en ont les dirigeants et responsables de la conformité de l’industrie, révèle le Pointage des régulateurs 2026. Tour d’horizon des impressions de courtiers et observateurs, et réponses de l’OCRI et de l’Autorité des marchés financiers (AMF).
Si l’OCRI obtient cette année des notes supérieures pour la grande majorité des critères d’évaluation par rapport au même sondage mené en janvier et février de 2025, deux indicateurs affichent toutefois un recul marqué, une baisse qu’Alexey Burakovski, chef de la conformité par intérim chez iA Gestion privée de patrimoine (iAGPP), attribue en partie à « l’incident de cybersécurité ».
Le premier recul concerne les communications. Au critère « le régulateur répond rapidement aux questions soulevées par les représentants et les organisations », les responsables de la conformité interrogés ont attribué une note de 7,5 sur 10 à l’OCRI en 2026, en baisse de 0,6 point sur 10 sur un an.
« Je reconnais que l’OCRI a subi d’importantes pressions au cours de la dernière année en raison de la cyberattaque. Cela a entraîné un léger ralentissement des délais de réponse, ce qui me semble tout à fait compréhensible compte tenu de la priorité accordée à la gestion de cet incident », confie l’un des répondants.
Le second critère d’évaluation touche le soutien de l’OCRI pour aider les organisations à faire face aux enjeux de cybersécurité et aux risques technologiques. Les répondants accordent une note moyenne de 5,1 à l’OCRI cette année, contre 6,9 l’an dernier.
Les avis des répondants sont partagés. « L’année 2025 a été un véritable fiasco pour l’OCRI. La faille de sécurité n’a pas été communiquée immédiatement aux personnes concernées, mais seulement plusieurs semaines plus tard, alors que les données compromises avaient déjà eu amplement le temps de circuler sur le web », reproche ainsi l’un d’eux. « Une faille s’est produite et aucune information n’a été communiquée aux personnes concernées », juge un autre.
Sur la question du soutien en cybersécurité, des répondants se montrent critiques. Certains estiment que l’OCRI est mal positionné pour offrir de l’aide après avoir été lui-même victime d’un incident. « Il n’y a presque aucun soutien. L’OCRI gère sa fuite du mieux qu’ils peuvent », désapprouve un sondé.
D’autres déplorent que les données de membres et de clients aient été touchées. « C’est très décevant que le régulateur ait été lui-même victime d’un événement de cybersécurité et que l’information de ses membres et celle de clients ait été touchée », commente un autre.
À l’inverse, certains estiment que la réponse de l’OCRI constitue un cas d’apprentissage afin de savoir comment communiquer en cas de cyberattaque. « Dans un contexte très difficile, l’OCRI a fait un bon travail de communication à cet égard », souligne un sondé.
Malgré ces baisses de notes de 2025 à 2026, certains courtiers membres saluent la réaction de l’OCRI à la découverte du cyberincident. « C’est malheureux, car nous n’avons reçu de questions que par un nombre limité de conseillers, d’employés, de clients quant à la portée de cet incident », commente Alexey Burakovski.
Selon lui, l’OCRI a réagi de façon très proactive. Il mentionne notamment la mise en place de conférences vidéo et de communications ciblées.
« Personnellement, j’ai reçu une lettre m’offrant deux ans de surveillance de mon crédit. Même si la situation est regrettable, les mesures prises par le régulateur démontraient bien qu’il était en mode solution, tant pour prévenir d’éventuels risques que pour rassurer la population », affirme-t-il.
« C’est malheureux ce qui est arrivé, mais ils ont bien géré la situation. L’OCRI a déployé les efforts, ils se sont rendus disponibles. La haute direction a eu des communications régulières. Ils ont mis des protections en place. Était-ce parfait ? Non. Mais ce genre d’incident nous guette tous », renchérit France Kingsbury, cheffe des affaires juridiques et de la conformité à PWL Capital.
Un point de vue partagé, mais nuancé par Maxime Gauthier, président de Mérici Services Financiers. Il souligne une volonté de leadership rassurant et une réaction rapide, tout en rappelant la complexité de la situation. « Je ne crois pas que les efforts ont été négligés pour prendre les mesures le plus rapidement possible, pour communiquer, pour se rendre disponible. J’ai senti une volonté d’exercer un leadership rassurant, de prendre le contrôle de la situation », dit-il.
Il estime toutefois que certains éléments, notamment le fait que 750 000 clients et anciens clients de courtiers membres avaient été touchés, ont mis du temps à émerger. L’OCRI a rendu cette information publique en janvier 2026 et commencé l’envoi des avis le 14 janvier 2026.
Jean-Paul Bureaud, directeur général à FAIR Canada, est aussi de cet avis. « Les indications aux investisseurs touchés sont arrivées plusieurs mois après la brèche, ce qui soulève des préoccupations légitimes », relève-t-il. Il se dit surpris et inquiet du délai que les Autorités canadiennes en valeurs mobilières (ACVM) ont mis avant de faire des annonces publiques sur ce plan, alors qu’elles supervisent l’OCRI.
« Les investisseurs sont en droit de s’attendre à recevoir des explications sur les mesures prises pour renforcer la surveillance, corriger les failles et éviter qu’une situation semblable se reproduise. C’est très important pour rétablir la confiance. » « Je suis surpris du peu de choses qui ont été dites publiquement (par les ACVM), compte tenu de la gravité de la faille », disait-il au début d’avril. Les ACVM ont toutefois abordé le dossier dans l’Avis 25-315 publié le 2 avril 2026.
Réponses des autorités réglementaires
L’OCRI dit avoir contré rapidement la menace. « Par mesure de précaution, l’OCRI a fermé de manière proactive certains de ses systèmes pour en assurer la sécurité et a immédiatement ouvert une enquête. Pendant toute cette période, les fonctions essentielles sont demeurées accessibles. »
Après avoir découvert que les renseignements d’inscription des sociétés membres et des personnes physiques inscrites avaient été compromis, le régulateur a agi : « Nous avons publié un communiqué de presse, suivi par les lettres, les webinaires pour les membres, et les courriels. Nous avons divulgué ces conclusions publiquement et les avons communiquées directement à nos membres et aux personnes inscrites touchées. »
À ce moment, l’OCRI a indiqué que l’enquête était toujours en cours. « Les données étaient très complexes et ont nécessité du temps afin de déterminer les répercussions ainsi que l’exposition individuelle des clients. Dès le départ, notre objectif a été de mener l’enquête la plus approfondie et la plus transparente possible afin d’assurer la protection des données qui nous sont confiées, de renforcer nos propres systèmes et de faire des recommandations visant à aider nos membres à améliorer leurs propres mesures de cybersécurité », lit-on dans une réponse écrite de l’OCRI.
Dès qu’elle a été avisée de l’incident de cybersécurité, l’Autorité des marchés financiers, de concert avec les autres juridictions canadiennes, « a supervisé de près les dispositions prises par l’OCRI pour soutenir les investisseurs. Elle considère aussi les mesures qui pourraient être nécessaires afin de rehausser l’encadrement de la cybersécurité par les OAR et autres participants au marché », indique l’AMF.
L’AMF souligne que l’OCRI a pris des mesures pour sécuriser ses systèmes et protéger les renseignements qui lui ont été confiés. « Une enquête a également été lancée avec le soutien d’experts en cybersécurité. L’OCRI a publié sur son site web les résultats préliminaires de cette enquête, et a offert aux personnes touchées des services de surveillance du crédit et de protection contre le vol d’identité », note l’AMF.
Leçons à tirer
Alexey Burakovski insiste sur la complexité inhérente à ce type d’incident. Selon lui, chaque communication doit reposer sur des faits solidement établis, dont l’analyse exige du temps.
Il estime ainsi que les délais étaient justifiables, dans la mesure où le régulateur cherchait à fournir dès le départ une information claire et fiable, tout en adoptant une approche préventive auprès des clients et des conseillers. L’incident a forcé les équipes d’iAGPP à réexaminer ses processus internes et contrôles afin d’en évaluer la solidité.
De son côté, Maxime Gauthier s’interroge sur les mesures mises en place à la suite de l’incident pour prévenir toute récidive. S’il reconnaît ne pas en être entièrement satisfait, il admet toutefois que certains éléments ne peuvent être divulgués. « Tu ne veux pas donner le plan aux voleurs, on s’entend », concède-t-il.
Il partage également une préoccupation quant aux employés de l’OCRI. Cet événement est arrivé alors que le cahier de charge de l’OCRI était, selon lui, déjà particulièrement rempli et ambitieux.
« Malgré le cyberincident, l’OCRI a mené à bien toutes ses priorités annuelles pour l’exercice 2026 », affirme l’OCRI.
Maxime Gauthier rappelle toutefois que personne n’est immunisé contre un incident de la sorte. « En 2026, qui peut se croire parfaitement à l’abri de ce risque-là ? La question n’est pas tellement si, mais plutôt quand cela va être notre tour, parce qu’aucun système n’est parfait. »
« Cet incident aura sûrement un impact sur l’étendue de l’information exigible par l’OCRI auprès des firmes quand, par exemple, ils viennent en inspection ou quand on leur fait des rapports. […] Peut-être que l’anonymisation des données est à réfléchir », soulève France Kingsbury. Selon elle, l’OCRI doit sérieusement évaluer la rétention de l’information et le calendrier de destruction des données.
Elle souligne que les firmes doivent être conscientes que ces informations peuvent réapparaître à tout moment et qu’il est donc essentiel de mettre en place des contrôles durables. Cela passe notamment par l’attribution d’accès ciblés, le recours à l’authentification multifactorielle ainsi que par des rappels réguliers et une formation continue, tant pour le personnel que pour les clients.
Maxime Gauthier soulève une réflexion plus large : la possibilité de mutualiser certaines ressources ou pratiques en matière de gestion d’incident de cybersécurité et de risques qui y sont liés.
Selon lui, une approche collective permettrait de renforcer la résilience du secteur et de tirer des leçons des expériences passées, plutôt que chaque entité ne gère ses risques de manière isolée.
Pour accéder au tableau, cliquez ici.
Avec la collaboration de Guillaume Poulin-Goyer et Carole Le Hirez