Le prochain resserrement réglementaire en gestion d’actifs

Auteurs : Adil Palsetia, associé, Cybersécurité, KPMG au Canada et Mihai Liptak, leader, Solutions américaines, Services de renseignements sur les risques, KPMG aux États-Unis

Comme les cyberattaques et les atteintes à la protection des données sont en hausse, l’état de préparation de la cybersécurité fait déjà partie des préoccupations des conseillers en placement et des sociétés d’investissement au Canada. Toutefois, la Securities and Echange Commission (SEC) des États-Unis propose de nouvelles règles qui obligeront les sociétés de placement menant des activités commerciales dans ce pays à redoubler d’efforts dans la gestion des risques liés à la cybersécurité.

Alors que la SEC réglemente rigoureusement la cybersécurité depuis déjà 15 ans, ses règles touchaient principalement les services financiers; au cours des 24 derniers mois, son attention s’est élargie. Comme le marché des services financiers accueille de plus en plus de particuliers et que les technologies sont au cœur d’activités commerciales importantes, la SEC et les organismes de réglementation étatiques ciblent maintenant les pratiques des sociétés ouvertes, des sociétés d’investissement, des courtiers en valeurs mobilières et d’autres entités.

Les autorités reconnaissent que les sociétés et les courtiers qui offrent des services de gestion d’actifs utilisent une variété croissante de systèmes et de réseaux et de plateformes de fournisseur de service. Ces interfaces présentent des risques d’incidents liés à la cybersécurité, d’atteintes à la protection des données et de défaillances fonctionnelles graves. De tels problèmes auraient des répercussions sur les actionnaires et les marchés, et pourraient entraîner des pertes financières, des préjudices à la réputation, la chute de la valeur des actions et une perte de clients.

Les modifications proposées feront en sorte qu’un plus grand nombre d’entités devront rendre compte de leurs activités afin de renforcer la cyberrésilience de l’ensemble du secteur financier. Avec une portée élargie et quelques nouvelles règles à observer, ces changements majeurs auront une incidence considérable sur l’industrie de la gestion d’actifs.

La presque totalité des parties prenantes du monde du placement au Canada est visée. En fait, c’est plutôt simple : toute société ou tout fonds d’investissement étranger inscrit auprès de la SEC devra observer les nouvelles règles; il y aura peut-être quelques exceptions pour les plus petites sociétés, mais cela reste à voir.

De nouvelles règles de la SEC sont déjà en vigueur pour les sociétés ouvertes, mais les exigences visant les conseillers en placement et les fonds de placement privés seraient applicables dès le quatrième trimestre de 2023. Les exigences visant les courtiers en valeurs mobilières devraient entrer en vigueur en avril 2024.

Ces dates ne sont pas coulées dans le béton. En effet, certains observateurs font remarquer que les règles pour les sociétés ouvertes devaient être applicables à partir de décembre 2023, mais elles ont été ratifiées plus tôt, soit le 26 juillet 2023. Afin d’éviter les surprises, les conseillers en placement devraient surveiller les échéanciers de la SEC et commencer à se préparer.

Toutes les parties concernées, qu’elles aient ou non un programme ou une stratégie de gestion des risques liés à la cybersécurité, auront de nouvelles obligations en matière de cybersécurité et devront revoir leurs politiques, leurs procédures et leurs pratiques de communication de l’information et de tenue de dossiers à cet égard.

Plusieurs conseillers privés, surtout de grandes sociétés institutionnelles, appliquent déjà des politiques de cybersécurité par principe de diligence raisonnable, même si aucune exigence formelle n’est en vigueur. Pour eux, les nouvelles règles de la SEC ne servent qu’à officialiser les pratiques exemplaires en matière de cybersécurité qu’ils ont déjà adoptées.

Les modifications proposées touchent l’Advisor’s Act et l’Investment Company Act avec l’ajout de l’alinéa 206(4)-9 et du paragraphe 38a-2, respectivement. Voici les nouvelles obligations :

• Adopter des politiques et des procédures officielles en matière de gestion des risques liés à la cybersécurité.
• Évaluer les risques actuels pour connaître les principaux risques auxquels est exposée l’organisation et décrire les processus et les contrôles en place pour protéger les actifs de l’organisation.
• Déclarer tout incident important lié à la cybersécurité à la SEC (à l’aide du formulaire ADV-C).
• Consigner les activités relatives à la cybersécurité dans un registre. Les organisations seront tenues de fournir un rapport annuel sur la structure et l’efficacité de leurs politiques et procédures en matière de gestion des risques liés à la cybersécurité.

D’abord et avant tout, les sociétés canadiennes de placement doivent comprendre que les règles proposées par la SEC les concernent : si elles font des affaires aux États-Unis, elles devront s’y conformer. Après avoir passé en revue les modifications, les conseillers devront se pencher sur les points qui suivent et commencer à se préparer.

Développer un processus pour déterminer le seul de signification

L’une des modifications qui touchent les sociétés d’investissement concerne le processus de déclaration des incidents liés à la cybersécurité. En cas d’incident, la société ou le fonds doit le signaler à la SEC. Les sociétés ouvertes disposent de quatre jours ouvrables pour déclarer l’incident et il est probable que le même délai sera accordé aux sociétés d’investissement privées.

Les organisations devront établir et documenter un processus rigoureux et reproductible pour réagir aux incidents présentant un risque technologique ou liés à la cybersécurité. Ce processus devrait entre autres comprendre un cadre formel pour déterminer le seuil de signification des incidents et pouvoir être rapidement mis en œuvre pour respecter le délai de déclaration imposé par la SEC.

Les déclarations réglementaires devront inclure la cybersécurité et mentionner les processus et les équipes qui sont en place pour déterminer ce seuil de signification. Idéalement, le responsable de la sécurité des systèmes d’information superviserait la préparation de la déclaration, et un conseiller juridique ferait partie des intervenants.

Définir les risques liés aux tiers

Les conseillers en placement doivent clarifier la relation qu’ils entretiennent avec leurs fournisseurs tiers et connaître le niveau de risque lié à la cybersécurité que ceux-ci représentent pour leur organisation. Par exemple, si le fournisseur d’un logiciel à la demande est victime d’un incident lié à la cybersécurité, la société d’investissement pourrait aussi être touchée. Il s’agit ensuite de déterminer le seuil de signification de l’incident et de respecter le délai de quatre jours.

Une fois le sablier en route, la société a peu de temps pour recueillir les renseignements nécessaires et préparer la documentation. Les sociétés doivent donc avoir la garantie de leurs fournisseurs qu’elles seront informées le plus rapidement possible d’un incident technologique ou lié à la cybersécurité.

Pour accélérer la détermination du seuil de signification de l’incident, les conseillers en placement pourraient devoir mettre en place des canaux de communication directe avec les fournisseurs et modifier les contrats pour y ajouter de nouvelles dispositions sur la faute et la responsabilité ainsi que sur les délais de déclaration des incidents importants. Certaines sociétés pourraient choisir de réviser la liste des tiers avec lesquels ils entretiennent une relation d’affaires ou d’en réduire le nombre.

Prendre une longueur d’avance

Les sociétés d’investissement privées peuvent attendre que les modifications proposées soient ratifiées pour découvrir leurs futures obligations, ou prendre des mesures proactives en supposant que les modifications les concernant refléteront les règles déjà applicables aux sociétés ouvertes.

Les mesures préliminaires possibles comprennent l’évaluation des risques, l’élaboration de nouveaux programmes de mise à l’essai et l’intégration de la cybersécurité dans les obligations et les programmes existants. Les sociétés pourraient aussi devoir modifier leurs rapports sur formulaire 10-K ou 20-F en fonction de l’évolution de leur environnement technologique et de cybersécurité. Il est recommandé de procéder à l’examen de ces environnements pour savoir ce qui a changé.

Les sociétés devraient aussi se familiariser avec les conséquences d’une non-conformité : le risque d’amendes réglementaires de la SEC.

Les conseillers en placement de moindre envergure, n’ayant probablement pas été confrontés à d’importantes mesures réglementaires par le passé, ont souvent moins de maturité en matière de gestion des risques technologiques et liés à la cybersécurité. Cela dit, même si les petites entreprises sont moins préparées pour élaborer un programme relatif aux risques afin se conformer aux nouvelles règles de la SEC, leurs risques demeurent moins grands que ceux des grandes sociétés.

L’évaluation des risques nouvellement exigée par la SEC aidera toutefois les petites sociétés à comprendre les risques auxquels elles sont exposées. Dans la plupart des cas, elle limitera les exigences de conformité devant être ajoutées à leurs processus. Le défi est de bien documenter l’évaluation, qui influera sur les efforts et les coûts subséquents.

KPMG au Canada dispose des outils et de l’expérience nécessaires pour aider les sociétés d’investissement à se préparer à la nouvelle réglementation de la SEC. Nous sommes en mesure de procéder à l’évaluation de la maturité en matière de cybersécurité, des risques de sécurité liés aux tiers et des risques liés aux cybermenaces afin de bien comprendre vos contrôles de cybersécurité existants et de comparer les résultats avec les exigences de la SEC pour repérer les lacunes. À partir de ces analyses, nous pouvons aider les conseillers en placement et les courtiers en valeurs mobilières à mettre en place des programmes de mise à l’essai et de conformité. Nous pouvons aussi administrer ces programmes dans le cadre de nos services gérés.

Pour se conformer aux nouvelles règles de la SEC et respecter le court délai de déclaration, les conseillers en placement doivent accélérer la mise en place de leurs processus. Nous pouvons vous aider à établir les cadres relatifs à la détermination du seuil de signification et une gouvernance solide pour que vos programmes – avec les tiers, de cybersécurité et de réglementation – fonctionnent harmonieusement et efficacement.

En traitant les problèmes de conformité et en renforçant la cybersécurité dès maintenant à l’aide de l’approche de KPMG, les conseillers en placement peuvent s’éviter de futurs casse-têtes et se concentrer sur la création de valeur. Pour en savoir plus sur les nouvelles règles de la SEC ou pour discuter de leurs répercussions sur votre organisation, communiquez avec nous.