Gestion des cyber-risques - comment les institutions financières doivent-elles s'armer ?

Les cyber-risques représentent un potentiel gros danger dans le secteur financier

La menace de cyberattaques s'intensifie au fur et à mesure que la numérisation avance. Cette évolution s'accompagne d'une recrudescence des activités criminelles en ligne. Pour renforcer la cyber-résilience du secteur financier, des mesures spécifiques aux établissements, ainsi que des initiatives intersectorielles, sont régulièrement mises en place. Par exemple, le Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC), créé en 2022, joue un rôle crucial dans cette démarche.

La FINMA constate également que les sujets signalent de plus en plus de cyberattaques et place depuis longtemps les cyber-risques parmi les principaux risques dans son moniteur de risques annuel. Comme l'indique la FINMA, les annonces de cyberattaques donnent un aperçu de la situation de la menace ainsi que des méthodes et des objectifs utilisés pour réaliser ces attaques. Dans le cadre de son activité de surveillance, la FINMA acquiert en outre des connaissances approfondies sur la manière dont les établissements financiers gèrent ces cyber-risques. En effet, elle fournit des informations spécifiques à ce sujet dans la communication de surveillance 03/2024 (communication FINMA sur la surveillance 03/2024).

Des failles de sécurité ont pu être constatées dans le cadre de la surveillance

Dans le communiqué de surveillance, la FINMA aborde les principales constatations et indique les mesures à prendre dans quatre domaines nommés ci-dessous.

Externalisation

Les cyberattaques sur les chaînes d'approvisionnement des établissements représentent désormais plus de 50% des plaintes. Les risques correspondants dans le contexte des externalisations sont donc au centre des préoccupations de la surveillance. Selon les déclarations de la FINMA, les points suivants ont été identifiés comme des points faibles:

  • Exigences peu claires des établissements envers les prestataires de services en matière de cybersécurité
  • Absence de vérification du respect de ces exigences
  • Après l'identification des lacunes, seuls quelques établissements proactifs ont comblé les points faibles.
  • Les vulnérabilités importantes ont généralement été traitées rapidement par de nombreux établissements, mais rarement par les prestataires de services
  • Définition et gestion insuffisante des données critiques

En cas d'externalisation, l'établissement reste responsable du respect des exigences. C'est pourquoi la FINMA recommande de tenir à jour un inventaire de toutes les externalisations importantes, y compris des sous-traitants.

Gouvernance et identification

La population a souvent considéré les cyber-risques comme un simple problème informatique. Pourtant, compte tenu de leur impact transversal, ces risques devraient être reconnus à leur juste valeur et recevoir l'attention qu'ils méritent de la part des instances dirigeantes. Dans le cadre de la gouvernance et de l'évaluation des risques, la FINMA a souligné plusieurs points critiques:

  • La gestion opérationnelle des cyber-risques est souvent trop liée à l'instance de contrôle, manquant ainsi d'indépendance.
  • L'identification des menaces potentielles est insuffisante.
  • Les cyber-risques ne font pas partie de la gestion des risques opérationnels
  • Appétit et tolérance au risque insuffisamment définis

Dans le cadre de la gestion des risques opérationnels qualitatifs, les cyber-risques devraient être gérés de manière spécifique. Il est en outre recommandé d'intégrer les contrôles clés correspondants dans le système de contrôle interne (SCI) et de faire vérifier leur efficacité par une instance indépendante. En conséquence, une séparation des tâches, des compétences et des responsabilités devrait être mise en place afin de garantir l'indépendance et de prévenir les conflits d'intérêts.

Dispositif de protection

Grâce à l'amélioration des mesures de protection, notamment contre les attaques par déni de service distribué, la FINMA considère que l'évolution du dispositif de protection est globalement positive. Cependant, plusieurs aspects restent perfectibles et ont été soulignés à diverses reprises:

  • «La prévention des pertes de données (DLP)» englobe insuffisamment les données critiques pertinentes, les données personnelles, les secrets commerciaux et la propriété intellectuelle dignes de protection, qui sont souvent hors du champ d'action des mesures.
  • Les directives et les processus de sauvegarde des données (back-up) ainsi que les plans de restauration sont presque toujours disponibles, mais le test de ces processus en cas de cyberattaque fait parfois défaut.
  • Formation et sensibilisation des collaborateurs à tous les niveaux hiérarchiques en rapport avec la thématique des cyber-risques est encore à développer dans la plupart des instituts.

La formation et la sensibilisation aux cyber-risques font partie des aspects centraux du dispositif de protection. Par conséquent, il serait judicieux de simuler des scénarios dans lesquels les dispositifs de protection existants seraient dépassés et les stratégies de sauvegarde et de restauration peuvent être testées en conséquence.

Détection, réaction et restauration

Selon la FINMA, la question de savoir si un établissement est en mesure d'enregistrer, de reconnaître et de réagir à des cyberattaques constitue un aspect clé de l'activité de surveillance. Les modèles suivants ont été identifiés:

  • Absence partielle ou insuffisance des plans de réaction et absence de contrôle de leur efficacité.
  • Manque de surveillance globale et systématique des technologies de l'information et de la communication de l'établissement.
  • Manque de mesures spécifiques pour rétablir l'activité commerciale après des cyberattaques.

Selon la FINMA, il est essentiel de se préparer aux cyberattaques en se basant sur des scénarios de risques. Des plans de réaction adaptés et testés jouent un rôle crucial dans cette préparation.

Conclusion

Comme l'explique la FINMA dans son communiqué de surveillance 03/2024, la gestion des cyber-risques par les établissements financiers suisses doit être assurée dans son ensemble. En ce qui concerne les exercices scénarisés sur les cyberattaques, la FINMA prévoit, pour les établissements d'importance systémique, des exercices de « red teaming » (attaques effectives par des experts en sécurité), tandis que les établissements non systémiques devraient effectuer des exercices annuels de « table-top » (simulations sur papier). Pour les assujettis des catégories 4 et 5, le Swiss FS-CSC propose des exercices en lien. En raison du potentiel de risque existant, il est également indispensable de prendre des dispositions adéquates et spécifiques à l'établissement en matière d'incidents et de crises cybernétiques.

La pratique montre qu'une garantie globale en matière de gestion des cyber-risques ne peut être obtenue que si toutes les parties impliquées - notamment les prestataires de services informatiques - appliquent correctement les directives de l'établissement. Donc, les simulations de crise liées aux cyberattaques devraient être complètes, car les implications ont des répercussions sur l'ensemble des activités d'un établissement.

25.07.2024




Les cases avec une * doivent être complétés. Les données que vous fournissez seront utilisées exclusivement pour personnaliser notre newsletter et ne seront pas divulguées à des tiers. L'information est volontaire. À des fins statistiques, nous effectuons un suivi de lien