Protection des renseignements personnels et sécurité informatique

GRI 103 : 418
Responsible products and services banner image

À titre d’entreprise dont les activités reposent sur la confiance de nos clients, nous avons pris l’engagement de veiller à la protection des renseignements personnels et à la sécurité informatique qui revêtent une importance cruciale pour nous.

Cyberrisque et risques liés aux technologies

Nous utilisons des systèmes et des technologies pour soutenir nos activités commerciales et améliorer l’expérience des clients et celle des conseillers financiers.

Nous sommes par conséquent exposés à des risques liés aux technologies et à la cybersécurité, comme des atteintes à la protection des données, le vol d’identité et le piratage, y compris le risque d’être confrontés à un refus de service ou à des attaques provenant de logiciels malveillants. De telles attaques pourraient compromettre les renseignements confidentiels de la Société ainsi que ceux de clients ou d’autres parties prenantes, et pourraient également entraîner des conséquences défavorables, y compris une perte de produits, des litiges, un contrôle réglementaire accru ou des dommages à la réputation.

La société a très peu d’appétit pour les risques opérationnels, notamment ceux liés aux technologies et à la cybersécurité. Notre cadre de protection met l’accent sur la gestion des risques opérationnels et le contrôle interne.

Les dirigeants des unités d’exploitation sont responsables de la gestion au quotidien des risques opérationnels de leur unité respective. Des programmes, des politiques, des formations et des processus de gouvernance spécifiques ont été conçus afin de soutenir la gestion du risque. La Société s’est dotée d’un programme de gestion de la continuité des activités afin de soutenir l’autonomie, la gestion et la reprise des activités et des processus critiques en cas d’interruption des activités. Consultez la rubrique Gestion des risques pour obtenir de plus amples renseignements sur notre cadre de gestion des risques.

Gouvernance

La Financière IGM a confié la détection et la gestion des risques technologiques au Bureau principal de la technologie et des données. Notre vice-président, Risque technologique et chef de la sécurité informatique, est responsable de tous les aspects de la mise en œuvre, de la gestion et de l’exécution du cadre de la sécurité, des risques et de la conformité des technologies de l’information d’IGM.

La présence du Bureau principal de la technologie et des données nous assure qu’IGM se conforme aux normes pertinentes en matière de sécurité et de cybersécurité des applications. Le Bureau fait rapport régulièrement au conseil d’administration en ce qui concerne notre stratégie en matière de cyberrisque et de sécurité informatique. Notre programme étoffé dans ces domaines sous-tend nos politiques en matière de technologie et repose sur les cadres et les meilleures pratiques du secteur. La Financière IGM se conforme aux lois et aux règlements applicables. 

Au sein d’IGM, nos normes concernant l’utilisation acceptable des outils technologies décrivent les attentes de la société à l’égard de tous ses employés, conseillers et fournisseurs en ce qui concerne la cybersécurité et l’utilisation de la technologie et de la propriété intellectuelle.

Programmes et ressources

Nous sommes engagés à investir dans les technologies de protection des données et le perfectionnement des talents spécialisés en la matière pour détecter les menaces à notre cybersécurité et intervenir adéquatement afin d’assurer notre protection. Pour faire face à de telles menaces, nous avons mis en place des programmes complets de sécurité informatique, adopté les saines pratiques de notre secteur d’activité et déployé des capacités d’analyse des menaces et de la vulnérabilité, ainsi que des capacités d’intervention. Notre logiciel de détection des menaces sur terminaux et de stratégies de réponse, et nos exercices de cyberintervention nous permettent de suivre les intrusions dans nos systèmes, d’en comprendre les causes profondes et de contenir toutes les menaces avec un minimum de perturbations pour l’entreprise. Grâce à notre appartenance au groupe de sociétés de la Corporation Financière Power, nous bénéficions de la solidité et de l’efficacité d’une plateforme de sécurité informatique de niveau mondial, tant du point de vue de l’envergure que de l’expertise. Des évaluations régulières de nos procédures de sécurité, tant par nos équipes internes que par des tiers, assurent leur pertinence et leur efficacité.

Dans un monde où le type de menace change constamment, nous reconnaissons que la composante humaine est tout aussi importante pour la protection des données. C’est pourquoi nous avons mis sur pied un programme de formation et de sensibilisation à la sécurité qui permet à tous nos employés d’acquérir les connaissances et les compétences nécessaires pour détecter et contrer les menaces à la cybersécurité. La sensibilisation se poursuit toute l’année et les employés, les conseillers et les sous-traitants doivent suivre une formation obligatoire. La formation en cybersécurité a lieu au cours du Mois national de la sensibilisation à la cybersécurité de Sécurité publique Canada.

De plus, nous participons à des forums organisés dans notre secteur d’activité et échangeons avec nos homologues sur l’analyse approfondie des menaces et les principales menaces à la sécurité dans le secteur mondial des services financiers.

  • Le Financial Services Information Sharing and Analysis Center (centre de partage et d’analyse de l’information sur les services financiers) est un consortium qui se consacre à la réduction du cyberrisque dans le système financier mondial. Au service d’institutions financières du monde entier et de leurs clients, l’organisation s’appuie sur sa plateforme de renseignements, ses ressources de résilience et son réseau fiable pair-à-pair d’experts pour anticiper, atténuer et réagir aux cybermenaces.
  • Le Centre canadien pour la cybersécurité établit des partenariats stratégiques avec les propriétaires et les exploitants d’infrastructures essentielles du Canada afin de diffuser l’information de pointe en matière de cybermenaces et de promouvoir l’intégration des technologies de cyberdéfense.

Protection des renseignements personnels

Conformément aux lois canadiennes sur la protection des renseignements personnels, nous ne recueillons que les renseignements nécessaires à nos activités et ceux que nous avons l’autorisation de recueillir. Nous ne divulguons les renseignements personnels sur nos clients que si la loi l’exige, s’il est nécessaire de le faire pour leur fournir des produits ou des services ou s’ils nous y autorisent.

Nous avons établi des lignes directrices précises concernant la collecte, l’utilisation et la communication des renseignements personnels. Pour tout complément d’information sur cet engagement, consultez les sites de nos sociétés en exploitation.

Nous avons également mis en place des procédures de protection des renseignements confidentiels contre le vol, la perte, la divulgation non autorisée, l’accès abusif, la destruction ou tout autre mauvais usage. Nos employés et les conseillers d’IG Gestion de patrimoine suivent une formation obligatoire complète à ce sujet à l’embauche, et des cours de rappel réguliers par la suite.