Tobias Schumacher, Senior Risk Management Specialist Cyber à la FINMA, présente dans cet entretien les cyberrisques auxquels les établissements financiers doivent particulièrement veiller. Son message est clair: il reste du travail à accomplir en 2026.
Monsieur Schumacher, le monitorage des risques 2025 de la FINMA contient à nouveau des signaux d’alarme clairs. Comment la FINMA évalue-t-elle la situation actuelle en matière de cybermenaces?
Le secteur financier suisse se voit confronté à un nombre croissant de défis de cybersécurité, alors que l’interconnexion technologique et les dépendances aux prestataires tiers accroissent les risques. Il est déterminant d’adopter une approche intégrée en termes de protection, de détection, mais aussi de capacité de réaction et de résistance.
Où voyez-vous concrètement les principaux dangers?
Les risques se complexifient. Outre les menaces purement financières, les risques non financiers tels que les cyberattaques gagnent aussi en importance. Le monitorage des risques montre que le secteur financier suisse est resté une cible de choix des cybercriminels en 2025. Banques, assurances et autres établissements financiers sont exposés à un risque particulièrement élevé du fait de leur grande interconnexion technologique, de leurs services critiques et de leur dépendance à des prestataires externes. Les auteurs d’attaques se professionnalisent et affinent sans cesse leurs méthodes, avec notamment une automatisation plus rapide et le recours aux IA génératives. Dans le même temps, de nombreux établissements manquent de coordination dans la gestion des cyberrisques. L’organisation et le contrôle des mesures de cybersécurité sont souvent isolées au sein des services informatiques, sans ancrage suffisant au niveau des organes de gouvernance, des systèmes de contrôle interne ou de la gestion des risques opérationnels.
Qu’entendez-vous par ce manque de coordination face aux cyberrisques?
Un concept de sécurité moderne ne se compose pas de mesures techniques indépendantes mais de mécanismes de sécurité coordonnés en fonction des risques. Des angles morts béants subsistent, précisément au niveau des plateformes cloud et d’autres infrastructures externes. Il manque une définition systématisée des exigences, une démonstration constante de l’efficacité des mesures de sécurité et, fréquemment, une intégration complète dans le système de détection. Et souvent, les rapports d’audit de prestataires ne sont pas systématiquement analysés sous l’angle de la cybersécurité. Au final, des interfaces centrales vont présenter des failles qui pourront être exploitées de manière ciblée.
Que faudrait-il encore optimiser selon vous?
La détection et la réaction. La capacité à identifier rapidement des événements critiques, à les hiérarchiser et à les maîtriser est capitale. Certes, de nombreux établissements disposent d’outils de surveillance, mais il manque souvent des cas d’application propres à chaque institution, des compétences opérationnelles claires dans les cas critiques et des tests réguliers des processus de réaction. Sans l’intégration systématisée de la gouvernance, de la détection et de la réaction, l’efficacité de solutions individuelles reste limitée.
La capacité de rétablissement après une attaque est elle aussi essentielle. Quels défis rencontre-t-on ici?
Bien que le Business Continuity Management doive intégrer des scénarios de cyberincidents depuis des années, leur mise en œuvre ainsi que les exercices communs avec les prestataires sont souvent négligés. Les backups ne sont véritablement utiles que s’ils fonctionnent en conditions réelles. Les constats tirés des tests et des incidents passés doivent alimenter les processus afin de renforcer la capacité de résistance opérationnelle. Pour que celle-ci soit suffisamment solide, il faut combiner protection, détection, réaction et redémarrage.
En quoi un point de vue intégré est-il important pour la résistance des établissements?
Pour un contrôle efficace des cyberrisques, il faut établir un point de vue intégré, qui transfère clairement les aspects de cybersécurité dans la responsabilité hiérarchique et la gestion du risque global. L’identification, l’évaluation et la documentation des risques doivent être homogènes, et des contrôles de sécurité pertinents doivent être formellement menés dans le système de contrôle interne, en incluant des tests d’efficacité. La stratégie en matière de fonctions externalisées est déterminante. Les compétences, les procédures de transmission hiérarchique et le contrôle du niveau de sécurité des prestataires doivent suivre un traitement institutionnalisé car de plus en plus souvent, des problèmes chez quelques prestataires critiques peuvent affecter plusieurs établissements en même temps. La FINMA a encore observé en 2025 une forte progression des annonces de cyberattaques contre les chaînes d’approvisionnement et les tiers, ainsi que des vols de données en interne. Cela démontre l’importance d’un cadre efficace relatif aux menaces d’initiés et à la détection des anomalies.
Qu’en conclure pour la stabilité de la place financière?
La cyberrésilience est devenue un facteur clé de stabilité de la place financière suisse. La question n’est plus de savoir si ou quand un établissement sera visé par une cyberattaque, mais quelle est sa capacité de résistance pour maîtriser une action de ce type. Les différences qualitatives ne sont pas technologiques mais relèvent d’une formule associant gouvernance, culture du risque, protection technique, capacité de réaction et compétences pour le rétablissement. Les établissent possèdent les bases nécessaires. La clé réside dans leur capacité à bien les utiliser dans une situation critique.
Quel rôle la FINMA jouera-t-elle à l’avenir?
La FINMA pointe toujours la cybersécurité comme un risque central. Elle met en avant une surveillance fondée sur les données et renforce l’évaluation du dispositif de cybersécurité des établissements assujettis par des instruments appropriés, tels que des cyberexercices basés sur des scénarios. La FINMA s’engage ainsi pour le fonctionnement des marchés financiers et pour la protection de leur clientèle.
