Le secteur financier suisse, une cible fréquente de cyberattaques

Les cyberrisques, qui sont répertoriés dans le monitorage FINMA des risques depuis plusieurs années déjà, sont encore présentés comme l’un des risques principaux dans l'édition 2024 de la publication. En 2020, la FINMA a commencé à recenser systématiquement les cyber-signalements. Depuis, elle a constaté une hausse des signalements de cyberattaques qui ont totalement ou partiellement atteint leur but. Ces résultats confirment que les cybermenaces continuent de représenter un risque élevé pour les établissements financiers. La communication FINMA sur la surveillance 03/2024 a précisé l’obligation d’annoncer définie en mai 2020, afin de pouvoir améliorer les informations sur la sécurité qui sont élaborées et partagées. Dans ce contexte, la FINMA demande des rapports détaillés sur le type et l’ampleur des incidents ainsi que sur les mesures prises. Les assujettis, toutes catégories de surveillance confondues, signalent par exemple des cyberincidents liés au piratage d’une messagerie professionnelle (business email compromise, BEC)¹ et à des arnaques au président². Certains incidents ont entraîné des dommages importants pour les établissements financiers concernés.

En cas de cyberincident, le courrier électronique reste le vecteur d’infection le plus fréquent, en particulier chez les petits assujettis. Les rapports sur les causes reçus montrent que les mesures de cyberprotection mises en place par les établissements financiers concernés présentaient un degré de maturité moindre. Cela concernait aussi bien la sensibilisation que les mesures de protection techniques.

Les attaquants sont également passés par d’autres portes d’entrée comme des processus insuffisants pour la détection et la correction en temps utile des vulnérabilités logicielles au sein de l’infrastructure technologique ainsi que des lacunes dans la gestion de la configuration. Des erreurs de configuration ont par exemple permis de contourner des authentifications multifactorielles et certains établissements n’avaient pas systématiquement mis en place une telle authentification.

Tendance positive du dispositif de protection mais la prudence est de mise

En ce qui concerne le dispositif de protection, une tendance positive a pu être observée dans le cadre de la surveillance courante ces dernières années. Toutefois, dans ce domaine aussi, des points faibles ont été relevés s’agissant notamment de la prévention en matière de perte de données par des acteurs internes et externes. 

Les mesures de protection pour la prévention des pertes de données (Data Loss Prevention ou DLP) se limitaient souvent aux seuls éléments d’identification des clients ou aux numéros de carte de crédit. D’autres données critiques (telles que les données personnelles sensibles, les secrets des affaires, la propriété intellectuelle) n’étaient pas couvertes par les mesures de protection DLP. 

Détection, réaction et récupération

Sur la base des signalements reçus, il est ressorti que les cyberattaques sont de nouveau passées inaperçues sur une longue période auprès des établissements financiers concernés. La capacité d’enregistrer, de détecter et de réagir en temps réel aux cyberattaques est, par conséquent, une priorité dans la plupart des contrôles sur place de la FINMA liés à la gestion des cyberrisques.

Lors de ces contrôles sur place, la FINMA a notamment observé les schémas récurrents suivants auprès des établissements financiers surveillés: 

• Certains établissements n’avaient aucun plan de réaction, ou seulement des plans de réaction incomplets, en cas de cyberincidents ou ne vérifiaient pas (régulièrement) l’efficacité de ces plans. 
• En ce qui concerne la manière de reconnaître et de recenser les cyberattaques, il est en outre apparu que certains établissements ne surveillaient pas systématiquement et en permanence leur technologie d’information et de communication (TIC). Il manquait parfois une évaluation des fichiers journaux critiques ou celle-ci n’avait lieu que durant les heures de bureau.
• La plupart des établissements ont pris des mesures pour assurer un rétablissement rapide du fonctionnement normal consécutivement à des événements extraordinaires. Toutefois, il manquait souvent des mesures de récupération spécifiques comme des cyberexercices fondés sur des scénarios ou des stratégies de communication.

Cyberattaques ciblant les chaînes d’approvisionnement

Les cyberattaques affectant les chaînes d’approvisionnement ou en lien avec des fonctions et des services externalisés, en particulier, restent aussi importantes. Elles concernent environ un tiers de l’ensemble des cyberincidents annoncés. On s’attend à ce que les cyberattaques ciblant les chaînes d’approvisionnement continuent de se multiplier, notamment dans le domaine des TIC. En conséquence, des mesures techniques et organisationnelles doivent être prises pour protéger les processus opérationnels essentiels ainsi que les données critiques. Il s’agit dès lors d’évaluer minutieusement et de contrôler régulièrement la gestion des cyberrisques auprès des fournisseurs. En outre, l’établissement financier qui externalise des tâches et le prestataire doivent être liés par des engagements contractuels, qui contiennent des exigences claires sur la cybersécurité et l’obligation d’annoncer les cyberincidents. Enfin, les établissements financiers qui externalisent des tâches doivent tester régulièrement leur réaction aux perturbations de la chaîne d’approvisionnement à l’aide de scénarios et d’exercices, afin de pouvoir agir rapidement et efficacement en cas d’incident sérieux.

Cyberexercices fondés sur des scénarios

En lien avec de tels cyberexercices, la FINMA exige des directions des établissements qu’elles procèdent régulièrement à des analyses de vulnérabilité et à des tests d’intrusion. Ces derniers doivent être effectués par du personnel qualifié disposant de ressources adéquates. Ce faisant, toutes les composantes TIC répertoriées qui sont accessibles sur Internet doivent être prises en compte. Par ailleurs, il y a lieu de considérer les composantes TIC répertoriées qui ne sont pas accessibles sur Internet mais sont nécessaires à l’exécution des processus critiques, ou qui contiennent des données électroniques critiques. Sur cette base, en tenant compte de ces composantes TIC, il s’agit d’identifier et de développer des scénarios et des menaces potentielles spécifiques à l’établissement, qui sont testés en fonction des risques lors de cyberexercices liés à des scénarios. Le résultat de ces exercices doit être documenté et rapporté en la forme appropriée. Les cyberexercices fondés sur des scénarios sont des instruments appropriés pour permettre à la FINMA d’évaluer le dispositif de cybersécurité des assujettis. La FINMA met l’accent sur une surveillance fondée sur des données et développe sa propre expertise de manière ciblée afin de pouvoir exercer une surveillance efficace dans le domaine des cyberrisques. Étant donné que les cyberrisques resteront élevés dans les années à venir, ces mesures sont indispensables pour garantir la meilleure protection possible des clients ainsi que la stabilité de la place financière suisse. 
 

¹ Fraude par manipulation de factures, voir Piratage d’une messagerie professionnelle (admin.ch) 
² Demande de paiement frauduleuse avec usurpation de l’identité d’un dirigeant, cf. également https://www.ncsc.admin.ch/ncsc/fr/home/cyberbedrohungen/ceo-betrug.html