L’évolution technologique et les dernières tendances ont incité la FINMA à renforcer ses ressources affectées à la surveillance des cyberrisques, lesquels sont surveillés directement, notamment à l’aide des contrôles sur place ciblés effectués par la FINMA, ainsi qu’indirectement lors des audits prudentiels réalisés par les sociétés d’audit. De plus, les établissements de plus grande taille sont régulièrement sensibilisés à la gestion appropriée des cyberrisques dans le cadre d’autoévaluations. L’autoévaluation réalisée au deuxième semestre 2018 s’est concentrée sur la capacité des établissements participants à reconnaître leurs vulnérabilités spécifiques en matière de cybermenaces, à estimer leurs risques à partir de là et à définir des mesures (threat intelligence).
Selon l’autoévaluation, la majorité des établissements participants ont tenu compte de manière appropriée des aspects précités; ce faisant, ils privilégient le repérage de menaces et de vulnérabilités émanant de systèmes critiques et de données sensibles. Certains établissements présentent toutefois un besoin d’amélioration, en particulier dans l’identification des vulnérabilités. Simultanément, la situation en matière de menaces continue de se développer de manière dynamique, ce qui pousse les assujettis à adapter et à améliorer continuellement leur catalogue de mesures. À l’avenir, le traitement des cyberrisques par les assujettis continuera de constituer un défi central de la surveillance prudentielle.
(Extraits du rapport annuel 2019)