Cyber-risques

Les banques suisses dissimulent trop souvent les cyberattaques qui les ciblent

Les banques suisses respectent insuffisamment l’obligation d’informer sur les cyberincidents qui les ciblent, constate un audit du Contrôle fédéral des finances (CDF). Le rapport observe qu’il existe encore trop de lacunes dans la surveillance, par la FINMA, de la cybersécurité chez les prestataires de services financiers.

(Source: Pictures news / Fotolia.com)
(Source: Pictures news / Fotolia.com)

Le Contrôle fédéral des finances (CDF) pointe du doigt des lacunes dans la surveillance, par la FINMA, de la cybersécurité chez les prestataires de services financiers en Suisse. Dans le cadre d’un audit tout juste publié, le CDF estime que les directives contraignantes de la FINMA pour les banques et les négociants en valeurs mobilières sont appropriées. En revanche, il apparaît que les mesures concrètes ne progressent pas assez vite, «en raison du peu de clarté des responsabilités et des compétences.» Des exercices intersectoriels réguliers sur les cyberattaques n’ont été menés qu’une seule fois. En outre, une organisation de crise opérationnelle est toujours en cours de mise en place.

La FINMA manque d’informations

La surveillance des cyber-risques par la FINMA s’avère lacunaire également à cause du manque de transparence des banques. Le CDF constatant que ces dernières respectent insuffisamment l’obligation d’informer sur les cyberincidents. «Le défaut de déclaration n’a pas eu de conséquences pour les institutions contrôlées, bien que les instruments correspondants existent. Il manque donc à la FINMA une source d’information importante sur les cyberrisques au niveau des institutions», explique le CDF dans son rapport. Et d’ajouter que la situation est accentuée par le fait que les banques refusent à la FINMA un accès direct à MELANI (devenu le Centre national pour la cybersécurité NCSC). Le CDF pointe aussi le risque que cette surveillance ne suive pas les activités prévues, mais soit adaptée aux ressources disponibles.

La FINMA a réagi à l'audit directement dans le rapport du CFD. Le gendarme financier explique que le document donne une impulsion précieuse pour développer davantage la surveillance en matière de cyber-menaces, déjà identifiées comme un risque important depuis plusieurs années dans le cadre du processus interne d'identification et d'évaluation de la situation de risque de la place financière suisse. Concernant les déclarations des cyber-incidents, la FINMA souligne notamment avoir publié un avis de surveillance en mai 2020, ajoutant que depuis lors, le nombre de déclarations a nettement augmenté.

Tags
Webcode
DPF8_207823