Cyberrisques (2024)

La place financière suisse reste en point de mire de la cybercriminalité internationale, notamment de la part de groupes internationaux de ransomware bien connus comme PLAY, AKIRA et Lockbit 3.0. Parallèlement, avec le renforcement de la surveillance des petits acteurs du marché comme les gérants de fortune indépendants ou les intermédiaires d’assurance non liés, la FINMA a enregistré un nombre croissant de cyberattaques contre ces assujettis.

Les assujettis, toutes catégories de surveillance confondues, sont toujours plus nombreux à signaler des cyberincidents liés au piratage d’une messagerie professionnelle (business email compromise, BEC; fraude par manipulation de factures) et à des arnaques au président (demande de paiement frauduleuse avec usurpation de l’identité d’un
dirigeant). Certains de ces incidents ont entraîné des dommages importants pour les établissements concernés et leurs clients. Des attaques par SIM swapping (forme d’usurpation d’identité par le contournement de l’authentification multifactorielle, dans laquelle une carte SIM numérique est créée ou volée) ont aussi été signalées à la FINMA.

En cas de cyberincident, le courrier électronique reste le vecteur d’infection le plus fréquent chez les petits assujettis. Les rapports sur les causes reçus montrent que les mesures de cyberprotection mises en place par ces assujettis étaient de moindre envergure ou présentaient un degré de maturité moindre. Cela concernait aussi bien la sensibilisation que les mesures de protection techniques.

Des processus insuffisants pour la détection et la correction en temps utile des vulnérabilités logicielles au sein de l’infrastructure technologique ainsi que des lacunes dans la gestion de la configuration ont constitué d’autres portes d’entrée pour les attaquants. Des erreurs de configuration ont par exemple permis de contourner des authentifications multifactorielles et certains établissements n’avaient pas systématiquement mis en place une telle authentification.

À plusieurs reprises, les établissements concernés n’ont pas remarqué les cyberattaques pendant une longue période. Les attaques ont été menées sur une infrastructure technologique obsolète qui n’était plus entretenue ou des prestataires externes n’ont pas informé à temps les instituts concernés. Cela révèle d’une part d’importantes lacunes dans la gestion du cycle de vie de l’infrastructure informatique et d’autre part, des faiblesses dans le dispositif de cybersécurité concernant les prestataires de services. La capacité de détection et de réaction des établissements demeure un facteur décisif dans la gestion réussie des cyberattaques. Le fait qu’un quart des incidents signalés soient des infections par des logiciels malveillants souligne à lui seul cette réalité.

L’année dernière, on a à nouveau observé plusieurs vagues d’attaques affectant la disponibilité des infrastructures technologiques, aussi appelées attaques par déni de service distribué (DDoS). Ces attaques ont été à l’origine de restrictions temporaires pour les acteurs du marché financier suisse et leurs clients. Elles reposaient généralement sur des motivations financières et s’accompagnaient de courriers de chantage. Certaines attaques DDoS (attaques affectant la disponibilité de l’infrastructure technologique) à motivation idéologique ont aussi ciblé des infrastructures critiques en Suisse.

Les attaques de la chaîne d’approvisionnement et les cyberincidents liés aux services et fonctions externalisés restent pertinents et continuent de concerner près d’un tiers des cyberincidents signalés. On peut s’attendre à ce que les cyberattaques contre les chaînes d’approvisionnement dans le secteur des technologies de l’information et de la communication continuent à se multiplier. En conséquence, des mesures techniques et organisationnelles doivent être prises pour protéger les processus opérationnels essentiels ainsi que les données critiques.

(Extraits du Monitorage des risques 2024)