Enseignements issus de la cybersurveillance 2021

Des cyberattaques visant des entreprises établies dans tous les secteurs ont fait les gros titres en Suisse et dans le monde. La FINMA a aussi constaté une hausse des cyberattaques annoncées. Depuis l’entrée en vigueur des précisions sur l’obligation d’annoncer les cyberattaques, publiées dans la communication sur la surveillance 05/2020 en septembre 2020, 95 actes ayant des conséquences significatives pour les assujettis concernés ont été signalés. Les banques ont été les plus touchées, suivies par les gestionnaires de fortune et les assurances.

La FINMA a de nouveau évalué le cyberrisque comme l’un des risques principaux menaçant la place financière suisse. Pour cette raison, elle a transféré des ressources supplémentaires dans ce domaine durant l’année sous revue. De plus, la FINMA a augmenté significativement par rapport à 2020 le nombre de contrôles sur place spécifiques aux cyberrisques.

Enseignements issus des contrôles sur place et des annonces significatives de cyberattaques

Les établissements assujettis à la surveillance sont toujours plus attentifs aux cyberrisques. Ils les considèrent très souvent comme l’un de leurs risques principaux. Entre 2019 et 2021, la FINMA a presque triplé le nombre de contrôles sur place auprès de ces établissements. Pour 2022, une nouvelle augmentation des contrôles est prévue. Or, au cours de l’année sous revue, la FINMA a constaté que certains de ces établissements ne rendaient pas compte régulièrement de ces risques à la direction ou au conseil d’administration.

Dans le domaine de l’identification des menaces potentielles de cyberattaques spécifiques aux établissements, quelques établissements ne disposaient d’aucune définition claire du volume et du contenu de leurs propres données critiques et/ou sensibles. Par conséquent, ces établissements ont témoigné de difficultés à établir un dispositif de protection ciblé.

Pour obtenir une vue d’ensemble plus globale et plus proche de la réalité s’agissant de la capacité de résistance des établissements contre les cyberattaques, la cybersurveillance a recouru, durant l’année sous revue, pour la première fois à deux analyses différentes de scénario fondées sur les menaces. D’une part, dans le cadre d’exercices «table top», des scénarios d’attaque ont été simulés et les processus de détection et de réaction en cas de cyberattaque ont été testés. D’autre part, la FINMA a mandaté des spécialistes pour qu’ils exécutent des tests fondés sur des scénarios dans des conditions contrôlées et d’entente avec les établissements concernés.

La plupart des constatations relevées lors des contrôles sur place portaient sur la protection des processus opérationnels et de l’infrastructure technologique. Certains assujettis peuvent s’améliorer dans les domaines de la cyberformation et de la cybersensibilisation. Pour un dispositif de protection efficace, les collaborateurs à tous les échelons hiérarchiques doivent obligatoirement être informés régulièrement sur les cyberrisques, connaître les méthodes d’attaque les plus courantes, comme l’hameçonnage (phishing), et savoir à quels services s’adresser au sein de l’entreprise s’ils découvrent des indices de cyberattaque.

Plus de la moitié des signalements de cyberattaques d’importance significative parvenus à la FINMA concernaient des actes visant la disponibilité via le distributed denial of service (DDoS). Depuis l’introduction de l’obligation d’annoncer en septembre 2020, trois vagues de DDoS ont été observées. La première en particulier, en septembre 2020, a eu des conséquences importantes en se répercutant partiellement sur la disponibilité de l’infrastructure du travail à distance, les services et prestations en ligne, l’infrastructure du courrier électronique ou autres. Certains établissements avaient négligé leurs mesures de protection dans ce domaine. La seconde catégorie de signalement la plus fréquente était celle des attaques envers des tiers. Environ 25 % des assujettis concernés n’ont pas été directement touchés, mais indirectement par l’intermédiaire de leurs prestataires les plus importants.

Lors de l’identification et de l’enregistrement des cyberattaques, il est apparu que certains établissements ne surveillaient ni systématiquement ni à temps leur infrastructure technologique. Il manquait parfois une évaluation des fichiers journaux critiques ou celle-ci n’avait lieu que durant les heures de bureau.

La plupart des établissements ont pris des mesures durant l’année sous revue afin de rétablir rapidement leur fonctionnement normal consécutivement à des événements extraordinaires. Ce faisant, il manquait encore souvent des mesures de rétablissement spécifiques après des cyberattaques.

(Extraits du rapport annuel 2021)

Rapport annuel 2021

Dernière modification: 05.04.2022 Taille: 2.8  MB
Ajouter aux favoris
Communication FINMA sur la surveillance 05/2020

Obligation de signaler les cyberattaques selon l'art. 29 al. 2 LFINMA

Dernière modification: 07.05.2020 Taille: 0.32  MB
Ajouter aux favoris
Backgroundimage