Face aux cyberrisques, le secteur financier doit agir

Dans l’édition 2025 de son monitorage des risques, la Finma présente les principaux risques qui, de son point de vue, menacent la place financière suisse. Les constats sont ici sans équivoque: le paysage actuel des risques se caractérise par une complexité accrue. Outre les risques financiers, les risques non financiers tels que les cyberattaques gagnent fortement en importance. Le monitorage de risques indique que le secteur financier suisse comptait encore parmi les cibles favorites des cybercriminels en 2026. Les banques, les assurances et d’autres établissements financiers sont exposés à un risque particulièrement élevé du fait de leur importante interconnexion technologique, de leurs services critiques et de leur dépendance envers des prestataires externes. Les cybercriminels agissent avec toujours plus de professionnalisme et leurs méthodes évoluent constamment, notamment grâce à une automatisation plus rapide et à l’utilisation de l’intelligence artificielle générative. Parallèlement, de nombreux établissements ne gèrent toujours pas les cyberrisques de manière suffisamment coordonnée. Les mesures de cybersécurité sont souvent organisées et contrôlées de manière isolée au sein de l’informatique, avec un ancrage insuffisant dans la gouvernance, dans le système de contrôle interne (SCI) et dans la gestion des risques opérationnels.

Angles morts dans l’utilisation du cloud et le recours à des prestataires tiers

Un concept de sécurité moderne ne se compose pas de mesures techniques isolées, mais de mécanismes de sécurité coordonnés et fondés sur les risques qui sont efficaces au-delà des limites des différentes solutions et plates-formes. Dans la pratique, il existe toutefois encore d’importants angles morts, notamment en ce qui concerne les plates-formes cloud et autres infrastructures externes: les exigences ne sont ainsi pas définies de manière cohérente, l’efficacité des mesures de sécurité n’est pas systématiquement prouvée et l’intégration dans le système de détection présente fréquemment des failles. Souvent, les rapports d’audit des prestataires de services ne sont pas non plus analysés de manière cohérente en ce qui concerne la cyberpertinence. Cela se traduit par des lacunes au niveau d’interfaces centrales que les pirates peuvent exploiter sciemment.

Détection et réaction: les processus doivent être efficaces

Des améliorations sont nécessaires en ce qui concerne la détection et la réaction. La capacité de détecter, de hiérarchiser et de maîtriser rapidement les événements critiques pour la sécurité est essentielle pour la résilience d’un établissement. De nombreux établissements disposent certes d’une solution de gestion des événements et des informations de sécurité (security information and event management, SIEM) et d’autres outils pour la surveillance, mais il manque souvent des cas d’application spécifiques à l’établissement. Les responsabilités opérationnelles en cas de situation critique ne sont en outre pas clairement définies et les processus de réaction ne sont pas testés régulièrement. Sans une intégration cohérente de la gouvernance, de la détection et de la réaction, l’efficacité des solutions individuelles reste limitée. Pour être efficace, une alarme doit en effet être évaluée à temps et traitée avec le pouvoir de décision adéquat.

La capacité de rétablissement reste critique

La capacité de rétablissement après un cyberincident est un autre domaine dans lequel le niveau de maturité affiche de fortes divergences dans le secteur financier suisse. Bien que les cyberscénarios devraient faire partie de la gestion de la continuité des activités depuis des années, leur mise en œuvre ainsi que les exercices communs avec les prestataires de services sont souvent négligés. Les sauvegardes n’ont de valeur que si elles fonctionnent dans des conditions réelles. Les enseignements tirés des tests et des incidents réels doivent être intégrés de manière démontrable dans les processus de renforcement de la résilience. Seule la combinaison de la protection, de la détection, de la réaction et du redémarrage permet d’obtenir une résistance opérationnelle robuste. 

Une vision intégrée comme clé de la résilience

Pour pouvoir contrôler efficacement les cyberrisques, il faut disposer d’une vision intégrée qui représente clairement les aspects liés à la cybernétique pour les inclure à la responsabilité hiérarchique et dans la gestion globale des risques. L’identification, l’évaluation et la documentation des risques doivent se faire de manière uniforme et les contrôles de sécurité pertinents doivent être formellement indiqués dans un SCI; quant à leur efficacité, elle doit faire l’objet de tests réguliers. Le traitement des fonctions externalisées est particulièrement décisif à cet égard. Les responsabilités, les voies de remontée d’informations et le contrôle du niveau de sécurité des prestataires de services doivent être institutionnalisés. Des problèmes chez un petit nombre de prestataires de services critiques se répercutent en effet toujours plus souvent sur plusieurs établissements en même temps. En 2025, la Finma a encore observé une forte augmentation des signalements de cyberattaques touchant des assujettis par l’intermédiaire de chaînes d’approvisionnement et de tiers, notamment des fuites de données. Les signalements à la Finma de vols de données par des auteurs internes ont aussi été plus nombreux. Cela illustre l’importance d’un cadre efficace pour les menaces internes et d’une détection efficace des anomalies.

La cyberrésilience est depuis longtemps devenue un facteur clé pour la stabilité de la place financière suisse. La question n’est plus de savoir si ou quand un établissement sera la cible d’une cyberattaque, mais quelles sont sa résistance à l’attaque, la rapidité de sa détection, l’efficacité de la réponse et la fiabilité de la poursuite des activités critiques. Les différences de qualité ne sont pas dues à la technologie, mais à l’interaction entre la gouvernance, la culture du risque, la protection technique, la capacité de réaction et les compétences de restauration. Les établissements disposent des bases nécessaires. Ce qui est déterminant, c’est leur capacité à les utiliser en cas d’urgence. 

La Finma décrit toujours la cyberthématique comme l’un des principaux risques pour la place financière. Elle met l’accent sur une surveillance fondée sur les données et renforce l’évaluation du dispositif de cybersécurité des assujettis à l’aide d’instruments appropriés, par exemple des exercices de cybersécurité fondés sur des scénarios. La Finma assume ainsi ses responsabilités et s’engage pour la protection des clients des marchés financiers ainsi que pour le bon fonctionnement des marchés financiers.