Dans une communication sur la surveillance, l’Autorité fédérale de surveillance des marchés financiers FINMA publie les conclusions de son activité de surveillance dans le domaine des cyberrisques. Elle y apporte également des précisions sur l’obligation de signaler les cyberattaques ainsi que sur les cyberexercices fondés sur des scénarios.
La FINMA considère depuis plusieurs années les cyberrisques comme l’un des principaux risques pour la place financière suisse (voir le monitorage des risques). Dans une communication sur la surveillance, elle rend compte des enseignements tirés de son activité de surveillance dans le domaine des cyberrisques et attire l'attention sur des lacunes qu’elle a constatées de manière récurrente. Elle précise en outre les exigences relatives à l’obligation de signaler les cyberattaques et à la réalisation de cyberexercices fondés sur des scénarios.
L’externalisation comme facteur de risque
En 2022 et 2023, plus de la moitié des cyberattaques signalées concernaient des services externalisés. Dans le cadre de son activité de surveillance des cyberrisques, la FINMA constate également très souvent des faiblesses dans ce domaine. Mais outre les externalisations, d’autres thèmes se démarquent régulièrement, par exemple la gouvernance face aux cyberrisques.
Des instruments de surveillance élargis
La FINMA a aussi introduit ces dernières années des instruments de surveillance supplémentaires spécifiques aux cyberrisques, comme le red teaming ou des exercices table-top avec les établissements assujettis. Dans le cadre du red teaming, des experts en sécurité jouent le rôle d’un cybercriminel et tentent d’attaquer et de contourner les mesures de cybersécurité d’une entreprise en copiant le mode d’attaque d’un pirate malintentionné. Les exercices table-top consistent à simuler et à jouer un scénario sur papier. Les risques identifiés sont continuellement analysés, évalués et résumés dans une carte des risques.
Des activités de surveillance étendues dans le domaine des cyberrisques
Les établissements assujettis sont tenus de signaler les cyberattaques à la FINMA. L’année dernière, la FINMA a par ailleurs effectué plus d’une douzaine de contrôles sur place spécifiques aux cyberrisques. Les annonces des assujettis ou des sociétés d’audit ainsi que les contrôles sur place de la FINMA spécifiques aux cyberrisques permettent à cette dernière d’évaluer de manière approfondie la qualité du dispositif de cyberdéfense des établissements assujettis et, si nécessaire, de prendre à temps des mesures spécifiques aux établissements.
