Trois façons pour les coopératives de crédit d’obtenir un avantage concurrentiel
Miser sur l’IA, la gestion des risques et l’accessibilité pour se démarquer.
Lignes directrices de gestion des risques du BSIF à l’intention des IFF
Entrée en vigueur le 1 janvier 2024, la ligne directrice B-13 du BSIF établit un cadre de gestion des risques numériques pour les IFF. Elle énonce des attentes claires à leur égard, à savoir adapter leurs pratiques numériques aux risques changeants dans trois domaines généraux :
Gouvernance et gestion du risque
Activités et résilience technologiques
Cybersécurité
S’ajoutent à ces consignes trois autres lignes directrices liées à la gestion du risque s’appliquant aux IFF. Ensemble, elles précisent les attentes en matière d’approche fondée sur les risques auxquelles les IFF doivent répondre.
Gestion du risque de modélisation : Elle énonce les attentes en matière de gestion du cycle de vie des modèles, y compris ceux fondés sur l’IA et les grands modèles de langage. Cette ligne directrice est actuellement à l’étude et entrera en vigueur le 1er juillet 2025. Les IFF doivent s’y préparer.
Gestion du risque lié aux tiers : Elle détermine les attentes en matière de gouvernance, de responsabilité et de gestion du risque pour toutes les ententes avec des tiers.
Gestion du risque opérationnel et résilience opérationnelle : Elle fournit des consignes liées à la gestion du risque opérationnel et à la résilience opérationnelle qui permettent aux institutions financières de se préparer aux perturbations et de se rétablir.
Se conformer à la ligne directrice B-13 peut grandement réduire les coûts et les efforts nécessaires au respect de la ligne directrice E-23 ou d’autres consignes à venir.
Risques liés à la non-conformité à la ligne directrice B-13
Comme la réglementation évolue très rapidement, les institutions financières qui n’adoptent pas dès à présent une stratégie efficace pour assurer leur conformité risquent d’accumuler un retard considérable coûtant cher à rattraper.
Celles qui ne répondent pas aux attentes de la ligne directrice B-13 s’exposent non seulement à des conséquences réglementaires, mais aussi à un éventail de risques.
En plus de s’exposer à des amendes réglementaires et d’être soumises à la surveillance accrue du BSIF, les IFF pourraient voir les membres de leur conseil d’administration faillir à leurs obligations, leur réputation auprès des clients, des partenaires et du public pouvant par conséquent être ternie.
Si les institutions ne respectent pas la réglementation, la qualité de leur service risque de diminuer, leurs dépenses technologiques et celles liées aux données sont susceptibles d’augmenter et les risques de perturbations opérationnelles peuvent s’accroître. Elles risquent aussi d’essuyer des pertes financières.
En cas de non-conformité, les institutions seraient plus vulnérables aux cyberattaques et aux violations de données, devraient assumer des coûts accrus et redoubler d’efforts pour gérer leur sécurité et renforcer leur cyberrésilience.
Différences entre la ligne directrice B-13 du BSIF et le cadre de cybersécurité CSF 2.0 du NIST
Les IFF qui se conforment au cadre de cybersécurité CSF 2.0 du National Institute of Standards and Technology (NIST) possèdent généralement déjà de bonnes pratiques de gestion des risques. Toutefois, la ligne directrice B-13 formule des attentes plus contraignantes adaptées au secteur financier canadien, ce qui rehausse les exigences de conformité.
Respecter uniquement le CSF 2.0 peut entraîner des lacunes de conformité importantes, en particulier dans les cas où le BSIF établit des attentes plus précises, demande d’autres documents et exige une supervision plus étroite de la part de la direction.
Similitudes importantes, quoique les exigences du CSF 2.0 ne soient pas aussi détaillées que celles de la ligne directrice B-13
Quelques similitudes
Peu de similitudes
| Domaines de la ligne directrice B-13 | Similitudes entre la ligne directrice B-13 du BSIF et le CSF 2.0 du NIST |
|---|---|
| Gouvernance et gestion du risque | |
| Responsabilité et structure organisationnelle |
|
| Technologies et cyberstratégie |
|
| Technologies et cadre de gestion des cyberrisques |
|
| Activités et résilience technologiques | |
| Architecture technologique |
|
| Gestion des actifs technologiques |
|
| Gestion de projets technologiques |
|
| Cycle de développement des systèmes |
|
| Gestion des changements et des versions |
|
| Gestion des correctifs |
|
| Gestion des incidents et des problèmes |
|
| Évaluation et suivi des services technologiques |
|
| Reprise après sinistre |
|
| Cybersécurité | |
| Déterminer |
|
| Se protéger |
|
| Détecter |
|
| Réagir, rétablir et apprendre |
|
Bien que le cadre du NIST soit une référence mondiale très répandue pour gérer les cyberrisques, la ligne directrice B-13 a été conçue spécialement pour les IFF du Canada.
La technologie offre des moyens rapides, intelligents et efficaces d’assurer sa conformité
Les IFF doivent se conformer à une foule d’exigences réglementaires de plus en plus complexes qui s’appliquent à des centaines de cas de figure et de systèmes qui, eux-mêmes, ont une multitude de particularités.
Utiliser les outils technologiques, comme l’IA générative ou agentique, est un choix avisé qui permet d’accroître sa transparence en matière de risques, d’améliorer son agilité opérationnelle et de répondre aux normes réglementaires telles que la ligne directrice B-13 et tout autre ensemble de consignes. Exploitant les aptitudes créatrices de l’IA générative, l’IA agentique est une nouvelle forme d’IA capable d’agir de manière autonome pour atteindre des objectifs et s’adapter.
Nous avons rationalisé le processus complexe de conformité pour les institutions financières et l’avons divisé en quatre volets alimentés par l’IA :
Élaboration d’un plan
Les IFF qui doivent répondre aux exigences réglementaires de plus en plus complexes et sophistiquées de différents territoires doivent adopter une approche stratégique pour comprendre et respecter ces exigences. Or, les systèmes hétéroclites de surveillance et de gestion de la conformité, souvent éparpillés dans des plateformes infonuagiques et des infrastructures physiques distinctes, nuisent à l’efficacité et manquent de clarté. Les IFF ont alors de la difficulté à avoir une vue d’ensemble de leur posture de conformité.
Les institutions avant-gardistes réalisent des investissements ciblés dans quatre principaux domaines :
- L’automatisation proactive de la conformité, en vue de réduire les délais de mise à jour réglementaire;
- La documentation et la surveillance alimentée par l’IA, pour répondre aux exigences changeantes en matière de déclaration;
- Le passage vers une infrastructure infonuagique, dans le but d’assurer leur conformité dans différents territoires;
- La gouvernance centralisée des données, pour remplir leurs obligations transfrontalières en matière de traçabilité des données, de consentement et de piste d’audit.
Adoption de politiques codifiées
En traduisant les politiques et les règles de conformité en formats lisibles au moyen de machines, les IFF réduisent le travail manuel et les erreurs humaines, en plus de rationaliser les processus répétitifs. Elles peuvent aussi réduire les coûts, améliorer les vérifications et surveiller la conformité en temps réel en l’intégrant harmonieusement à leurs activités.
En quoi consiste la politique en tant que code?
Il s’agit d’une pratique de conversion des règlements et des politiques d’une entreprise en codes qui permettent de mettre en place des contrôles pouvant être reproduits et générer des rapports. Les IFF peuvent appliquer cette pratique à toutes leurs activités.
Qu’est-ce que la conformité en tant que code?
Cette approche vise à protéger les infrastructures et les services en cas de vérification au moyen de codes visant à automatiser la validation et à maintenir la conformité.
Les robots de conformité en tant que code peuvent notamment permettre aux IFF de convertir les politiques réglementaires en renseignements exploitables et en contrôles codifiés. Ceux-ci peuvent être transformés en règles codifiées permettant d’assurer et de surveiller la conformité de façon continue et automatisée.
Mise en place d’une infrastructure de politique
Tirer parti de l’infrastructure en tant que code permet de regrouper les mises à jour des applications et de l’infrastructure en une source de données unique. Les institutions peuvent alors appliquer un ensemble de contrôles codifiés à leur infrastructure technologique de façon à réduire les risques d’erreurs.
Qu’est-ce que l’infrastructure en tant que code?
Il s’agit d’une méthode d’automatisation de la gestion et de la création des infrastructures infonuagiques privées et publiques qui permet de maintenir leur configuration au moyen de codes.
L’infrastructure en tant que code offre une visibilité accrue dans le déploiement des infrastructures, favorise la réutilisation des codes et accélère les mises à jour automatisées. Le passage à l’infonuagique aide aussi les IFF à réduire la dette technologique qui s’accumule à mesure que les logiciels locaux vieillissent.
Surveillance et signalement
Comme les attentes réglementaires se complexifient, il devient de plus en plus pressant de réunir les sources de données disparates pour en vérifier régulièrement la conformité. Les modèles d’IA agentique sont des outils puissants qui simplifient ces vérifications, trouvent les problèmes et envoient des avertissements en assurant une surveillance continue.
Une solution centralisée de surveillance réglementaire et de signalement, comme notre portail de gestion de la conformité ComplyHub, peut décloisonner les systèmes, fournir des renseignements personnalisés en temps réel et rédiger des rapports de conformité à partir de logiciels.
Où que vous en soyez dans votre parcours d’adoption du numérique, il existe des outils d’IA pratiques que vous pouvez commencer à exploiter dès maintenant. De l’automatisation des tâches courantes liées à la conformité à l’amélioration de la détection des risques, même les petites mesures peuvent accroître l’efficacité de vos opérations de conformité.
Transformation de la conformité des services financiers grâce à ComplyHub de BDO
Quelle que soit la norme de conformité à laquelle votre entreprise adhère, nous pouvons vous aider à respecter la réglementation actuelle et future, aussi complexe soit-elle, et vous guider dans l’autonomisation progressive de vos outils d’IA.
ComplyHub est une plateforme infonuagique interactive qui centralise et automatise les processus de gestion de la conformité de bout en bout pour votre entreprise. Cette solution tout-en-un extensible a été conçue sur mesure pour le secteur des services financiers. Évoluant au même rythme que votre entreprise et les normes de conformité, elle s’intègre parfaitement à vos sources de données, qu’elle analyse en temps réel et transforme en renseignements visuels. Vous pouvez ainsi mieux évaluer votre posture de conformité globale pour réduire les risques de sécurité en amont.
ComplyHub est une plateforme infonuagique interactive qui centralise et automatise les processus de gestion de la conformité de bout en bout pour votre entreprise. Cette solution tout-en-un extensible a été conçue sur mesure pour le secteur des services financiers. Évoluant au même rythme que votre entreprise et les normes de conformité, elle s’intègre parfaitement à vos sources de données, qu’elle analyse en temps réel et transforme en renseignements visuels. Vous pouvez ainsi mieux évaluer votre posture de conformité globale pour réduire les risques de sécurité en amont.
Vous voulez assurer la pérennité de votre gestion des risques dans un environnement complexe? Communiquez avec vous pour obtenir une consultation gratuite.
Ahmad Ovais
Associé, Services-conseils en données et IA et Services-conseils en stratégie et transformation numériques
Sacha Blasiak-Priestley
Directrice, Sécurité de l’infonuagique