Cyberrisques (2023/2)

Le cyberrisque est resté élevé sur le marché financier. La gestion des cyberrisques a été par conséquent un axe prioritaire dans l’activité de surveillance de la FINMA en 2023.

Comme durant les années précédentes, plus d’une douzaine d’établissements ont été examinés directement par la FINMA dans le cadre de contrôles sur place spécifiques aux cyberrisques, en plus des audits ordinaires des sociétés d’audit. Par ailleurs, plusieurs entretiens de surveillance ont eu lieu sur ce thème avec les établissements d’importance systémique. 

Le nombre de cyberattaques reste élevé

Le nombre de signalements reçus par la FINMA sur les cyberattaques qui ont atteint leur but auprès des établissements assujettis est resté stable par rapport à 2022. La FINMA aborde cette thématique en détail dans son monitorage des risques 2023. Les prestataires externes de services mandatés par des établissements assujettis ont de nouveau fait l’objet d’attaques. En 2022, celles-ci constituaient environ 50% des cyberattaques annoncées. Cette tendance s’est poursuivie en 2023 dans une proportion légèrement plus faible (voir le rapport annuel 2022 et le monitorage des risques 2022).


Les expériences de ces dernières années ont montré que les cybercriminels visaient davantage les petits établissements et que ces derniers étaient plus souvent touchés que la moyenne par des cyberattaques réussies. Pour pouvoir mieux évaluer ce risque, une analyse de maturité a été réalisée à large échelle auprès des petites et moyennes entreprises d’assurance ainsi qu’auprès d’une sélection de gestionnaires de fortune.

 

Part des attaques contre des prestataires externes de services par rapport au nombre total

Enseignements issus de la cybersurveillance: lacunes dans les domaines de la gouvernance et de l’identification des menaces potentielles

Lors des contrôles sur place spécifiques aux cyberrisques, une grande partie des lacunes que la FINMA a identifiées relevaient du domaine de la gouvernance. Très souvent, en particulier pour les établissements de taille moyenne, la FINMA a constaté une délimitation floue entre la première et la seconde ligne de défense. Il est essentiel qu’une organisation de contrôle des risques indépendante examine continuellement la gestion des cyberrisques afin que la troisième ligne de défense puisse orienter ses audits de manière ciblée sur les cyberrisques les plus importants de l’établissement.


Les secondes lacunes les plus fréquentes que les contrôles sur place de la FINMA ont recensées relèvent du domaine de l’identification des menaces potentielles spécifiques à l’établissement. Certains établissements n’avaient pas défini clairement ce qu’incluent leurs données critiques. De plus, ils ignorent souvent quels sont les collaborateurs qui ont accès à ces données faute d’outil d’autorisation central. Cet état de fait complique la tâche de l’organisation de la sécurité propre à l’entreprise d’élaborer un dispositif de protection orienté sur les données les plus importantes.


Enfin, la FINMA a constaté des manquements dans le dispositif de protection contre la perte de données, l’absence d’un cyberscénario dans le plan de continuité des affaires et des plans de sauvegarde ou de restauration non testés ou mis en œuvre de façon déficiente

L’externalisation augmente les cyberrisques

La FINMA a formulé en 2023 des attentes claires à l’égard de l’externalisation: les assujettis peuvent externaliser des services, mais pas la responsabilité qui en découle.


En 2023 de nouveau, les cyberattaques envers des établissements ont davantage concerné les technologies de l’information et de la communication qui avaient été externalisées à des tiers. Les contrôles sur place ont montré que ce résultat s’explique par le flou des exigences posées en matière de cybersécurité aux prestataires de services mandatés ainsi que par l’irrégularité – voire l’inexistence – de la vérification de ces exigences. De ce fait, la surveillance des cyberrisques s’est concentrée notamment sur les principaux prestataires de services. L’objectif de la FINMA était de déterminer pourquoi les attaques contre les prestataires de services réussissaient plus souvent que la moyenne.

  • La FINMA a observé que les établissements directement assujettis à la surveillance reprenaient rapidement le contrôle en cas de graves faiblesses et étaient ainsi en mesure d’éviter des dommages directs. Leurs prestataires de services, toutefois, n’étaient souvent pas aussi efficaces et étaient insuffisamment préparés.

  • Concernant les lacunes importantes de sécurité, seuls de rares établissements ont pris contact avec leurs principaux prestataires de services pour s’assurer qu’ils seraient en mesure d’y remédier rapidement, avant l’apparition de dommages.

  • Très souvent, l’inventaire que les établissements avaient établi de leurs prestataires était incomplet. Il n’était par exemple pas mentionné que des données critiques étaient stockées chez tel prestataire ou que tel autre était responsable de l’exécution d’une fonction critique. Les établissements ont certes annoncé à la FINMA les cyberrattaques envers leurs prestataires de services dans le cadre desquelles des données critiques avaient fuité, mais ils n’avaient pas signalé dans l’inventaire que ces prestataires étaient importants ou critiques. Pour cette raison, ces derniers faisaient généralement l’objet d’un contrôle lacunaire, voire d’aucun contrôle régulier.

  • L’observation ci-dessus va de pair avec la constatation susmentionnée dans le domaine de l’identification: les établissements concernés ne disposaient pas de définition claire de ce qu’est une donnée critique. Cela complique non seulement la protection interne de ces données mais aussi la classification appropriée des prestataires de services et la détermination des mesures de contrôle nécessaires en vue de réduire les risques identifiés.


(Extraits du rapport annuel 2023)

Rapport annuel 2023

Dernière modification: 20.03.2024 Taille: 2.87  MB
Ajouter aux favoris
Backgroundimage