Cyberrisques et externalisation (2024)
En plus des contrôles réguliers par des sociétés d’audit externes, la FINMA a procédé à plus d’une douzaine de contrôles sur place spécifiques aux cyberrisques. Elle s’est fondée pour cela sur la circulaire FINMA 2023/1 « Risques et résilience opérationnels – banques » entrée en vigueur le 1er janvier 2024. Celle-ci contient des exigences actualisées sur la gestion des cyberrisques, notamment dans le cadre de la gestion des cyberexercices fondés sur des scénarios. Dès 2020, la FINMA publiait une communication sur la surveillance 05/2020 sur le thème des cyberrisques. Dans la nouvelle communication sur la surveillance 03/2024, la FINMA retient les enseignements tirés de l’activité de surveillance dans la gestion des cyberrisques et précise le processus en relation avec les cyberincidents et la gestion des cyberexercices fondés sur des scénarios.
Le nombre de signalements reçus par la FINMA concernant des cyberattaques réussies ou partiellement réussies a augmenté d’environ 30 % par rapport à 2023. Dans son monitorage des risques 2024, la FINMA en a rendu compte en détail. Les prestataires externes de services mandatés par des établissements assujettis ont de nouveau fait l’objet d’attaques. Celles-ci concernaient environ 30 % des cyberattaques signalées. À la suite du renforcement de la surveillance des petits acteurs du marché, comme les gérants de fortune indépendants ou les intermédiaires d’assurance non liés, un nombre croissant de cyberattaques a également été enregistré chez ces assujettis.
Focalisation sur le risque de concentration dans le domaine des externalisations
La FINMA juge que l’externalisation de fonctions essentielles à des tiers constitue l’un des principaux risques pour les assujettis, ainsi qu’elle l’explique également dans le monitorage des risques 2024. Les établissements financiers dépendent toujours plus de prestataires de services pour des fonctions essentielles. Le nombre d’externalisations qui présentent un lien avec une fonction critique pour les assujettis a également augmenté en 2024. Ce faisant, le nombre de sous-traitants augmente aussi et, par conséquent, la complexité de la chaîne d’approvisionnement. Les assujettis dépendent donc dans une large mesure de tiers pour la fourniture de leurs services et la poursuite de leurs activités.
Durant la période sous revue, la FINMA a collecté en permanence des données relatives aux externalisations essentielles des banques, des assurances, des infrastructures des marchés financiers et d’autres acteurs des marchés financiers. Elle a identifié les risques de concentration existants et constaté une concentration accrue chez certains prestataires qui fournissent des fonctions essentielles, voire critiques pour de nombreux établissements financiers. Une interruption chez un de ces prestataires ou un accès illicite à des données sensibles pourrait entraîner des répercussions massives sur le marché financier suisse. L’augmentation des externalisations de l’infrastructure informatique et des données critiques dans le cloud dit public est significative. En 2024, déjà une banque ou assurance sur cinq externalisait des données ou des fonctions importantes à des fournisseurs de cloud public.
La FINMA a sensibilisé aussi bien les établissements que les prestataires aux risques accrus et s’est plus particulièrement focalisée sur la résilience opérationnelle des établissements et du marché financier suisse dans son ensemble. La FINMA a par ailleurs suivi de près l’évolution internationale dans le domaine de cette gestion du risque de tierce partie. En 2024, le Comité de Bâle sur le contrôle bancaire (CBCB) a commencé à définir de nouveaux principes pour garantir une gestion solide des risques en relation avec les accords conclus avec des tierces parties.
Les communications sur la surveillance, un outil efficace pour promouvoir la stabilité dans le cyberespace
Les cyberrisques et leur gestion constituent un risque majeur pour les assujettis depuis plusieurs années. La FINMA a donc renforcé sa surveillance dans ce domaine en 2024, notamment à travers la multiplication des contrôles sur place, mais aussi via l’utilisation d’une large gamme de différents instruments de surveillance, tels que les analyses de scénarios, les exercices table top ou de red teaming ou la publication de communications sur la surveillance. Les rôles et réactions pendant une urgence sont discutés lors des exercices table top au moyen de scénarios de risques ; les exercices de red teaming améliorent la sécurité de l’entreprise grâce à des cyberattaques simulées.
Les communications sur la surveillance se sont avérées un instrument efficace pour gérer un risque aussi dynamique que le cyberrisque et des menaces sans cesse changeantes. Les circonstances actuelles de la menace mais aussi les enseignements critiques tirés par exemple des contrôles sur place, des entretiens de surveillance ou du processus de cybersignalement peuvent être partagés en temps réel avec les assujettis. De même, les communications sur la surveillance précisent les évolutions sur le marché financier, par exemple l’utilisation de solutions cloud, ou dans le domaine technologique, par exemple l’utilisation de l’intelligence artificielle (IA) pour gérer les cyberrisques.
La communication sur la surveillance 03/2024 publiée au cours de l’exercice sous revue inclut les leçons tirées de l’activité de surveillance concernant le cyberrisque ainsi que des précisions sur la communication FINMA sur la surveillance 05/2020 et sur les cyberexercices fondés sur des scénarios. Dans le cadre des exigences prudentielles actuelles, la FINMA soutient ainsi une amélioration ciblée et constante de la mise en oeuvre de ces exigences.
Grâce à cette publication, les assujettis sont aussi en permanence restés très sensibles aux cyberrisques en 2024. Même après la publication des exigences prudentielles, la FINMA a contribué à l’amélioration constante de la maturité des assujettis dans la gestion des cyberrisques. Elle a ainsi favorisé la stabilité des différents établissements et du marché financier dans son ensemble. Aussi, les cyberattaques d’une extrême gravité à l’encontre des assujettis ont-elles été peu nombreuses en 2024.
(Extraits du rapport annuel 2024)
