La FINMA alerte sur les vulnérabilités technologiques du secteur financier suisse

La FINMA tire la sonnette d’alarme. Dans son Monitorage des risques 2025, l’autorité de surveillance met en lumière une montée rapide des risques technologiques qui fragilisent la place financière suisse. La dépendance croissante aux prestataires externes et aux services cloud expose les établissements à de nouvelles vulnérabilités, tandis que les cyberattaques visant des tiers se multiplient. Près de 47% des incidents signalés en 2024 proviennent désormais de fournisseurs externes, un niveau qui montre que la stabilité du système financier repose autant sur la solidité de ces partenaires technologiques que sur les capacités internes des banques et des assureurs.

Externalisations massives et dépendance au cloud

La migration vers le cloud s’accélère et accentue la vulnérabilité du secteur. Les externalisations essentielles augmentent nettement: les banques passent de 60 fonctions critiques hébergées dans le cloud public fin 2023 à 83 fin 2024, tandis que les assureurs passent de 46 à 50 sur la même période. Au total, 8 banques sur 10 confient une part importante de leur infrastructure TIC à des prestataires externes et la majorité délèguent aussi des éléments clés du trafic des paiements. Les assureurs externalisent désormais la gestion de leurs capitaux, renforçant la dépendance à un nombre limité de fournisseurs technologiques.

Cette concentration crée un risque systémique: la défaillance d’un seul acteur pourrait perturber simultanément plusieurs établissements. Le phénomène est déjà visible, avec la multiplication des cyberattaques ciblant des tiers, la persistance des DDoS et plusieurs interruptions temporaires de services. Les vecteurs les plus fréquents sont l’accès non autorisé (37%), les attaques DDoS (30%) et l’usurpation d’identité (14%). Les cyberescroqueries visant Twint ou les cartes de débit, souvent liées à l’hameçonnage ou à des plateformes frauduleuses, continuent également de progresser.

Systèmes vieillissants et données fragiles

À ces risques externes s’ajoutent les faiblesses internes. La FINMA souligne la complexité croissante des architectures TIC, l’utilisation de modules logiciels obsolètes et la qualité parfois insuffisante des données. Une configuration incorrecte ou un composant vieillissant peut suffire à interrompre des services critiques et provoquer un effet domino difficile à maîtriser. L’autorité rappelle que l’exploitation ne devrait jamais dépendre d’un seul élément, une exigence encore loin d’être remplie.

Dans son communiqué, la FINMA appelle les établissements à renforcer leur résilience technologique afin d’assurer la continuité des systèmes même en cas de défaillance. Une culture du risque solide et une gouvernance rigoureuse restent essentielles pour préserver la stabilité de la place financière suisse.