Cyberattaques - La FINMA appelle à un renforcement des mesures de lutte contre les cyberrisques dans les établissements assujettis

Classification des innovations¹

_{¹ Il s'agit d'une présentation très simplifiée destinée à permettre une première catégorisation rapide du sujet. Chaque institution doit déterminer la pertinence et le besoin spécifique d'action de manière individuelle et spécifique.}

Résultats de la surveillance des cyberrisques par la FINMA

Externalisation

Le nombre d'attaques réussies contre des prestataires de services externes d’établissements assujettis est en augmentation. Cela s'explique notamment par le manque de clarté des exigences posées par les établissements assujettis aux prestataires de services mandatés en matière de cybersécurité et par le fait que la vérification du respect de ces exigences n'est pas effectuée régulièrement voire inexistante. Il pourrait être nécessaire de prendre les mesures suivantes :

• Veiller lors de la conclusion de contrats avec des prestataires de services externes mandatés en matière de cybersécurité à ce que les exigences soient suffisamment claires.
• Examiner régulièrement les exigences en matière de cybersécurité et les présenter dans des rapports de contrôle.
• Clarifier la manière dont les prestataires de services externes reconnaissent les graves lacunes en matière de sécurité et y remédient rapidement avant que des dommages ne se produisent.
• Préciser si et comment les prestataires de services mandatés en matière de cybersécurité sont préparés aux cyberattaques, quelles mesures peuvent être prises en cas d'attaque, dans quel délai (le respect des obligations d’annonce doit être assuré) et, la définition des processus pour ces obligations.
• Veiller à ce que les exigences en matière de cybersécurité soient également respectées par les sous-traitants engagés par les prestataires de services externes.

En cas d'externalisation auprès de prestataires de services externes, l’établissement reste à tout moment responsable du respect des exigences prudentielles.

Gouvernance et identification

Selon la FINMA, les directions et les conseils d'administration des établissements assujettis n'accordent pas encore la priorité nécessaire aux cyberrisques. souvent considérés à tort comme un problème purement technologique. En outre, une gestion systématique et globale des cyberrisques fait souvent défaut. Les mesures suivantes pourraient s'avérer nécessaires 

• Reconnaissance des cyberrisques comme un risque indépendant.
• Définition des cyberrisques ainsi que l'appétit pour le risque et la tolérance au risque idoine. 
• Introduction de contrôles clés dans le système de contrôle interne (SCI).
• Examen régulier de l'efficacité de ces contrôles.

Mesures de protection

Selon la FINMA, un potentiel d’amélioration en matière de formation et de sensibilisation du personnel à tous les niveaux existe. Bien que de nombreux établissements disposent d’une politique et des processus pour la sauvegarde des données ainsi que des plans de restauration, elle a constaté que certains de ces processus n’étaient pas testés pour les cas de cyberattaque grave. En outre, les mesures de protection pour la prévention des pertes de données (DLP) se limitent souvent aux bases de données d’identification. Il pourrait être nécessaire de prendre les mesures suivantes :

• Organiser des formations et des séances de sensibilisation aux cyberrisques régulières pour tous les employés (y compris des tests) afin que les méthodes d'attaque les plus courantes soient reconnues et gérées correctement.
• Vérifier si des mesures appropriées de prévention de pertes de données (DLP) sont en place pour toutes les données critiques.
• Effectuer des tests réguliers des sauvegardes créées pour s'assurer qu'elles peuvent être restaurées dans les délais impartis avec l'actualité, l'intégrité, la qualité et l'exhaustivité souhaitées (en particulier dans le cas d'un cryptage complet des données critiques, y compris les sauvegardes de données dues à des attaques de ransomware).

Détection, réaction et récupération

Selon la FINMA, certains établissements n'ont pas de plans d'intervention en cas de cyberincidents, ou des plans incomplets, ou encore des plans dont l'efficacité n'a pas été vérifiée. Des mesures spécifiques de rétablissement à la suite de cyberattaques font également souvent défaut. Une préparation orientée sur les risques et basée sur des scénarios pour les cyberincidents et les crises est donc cruciale et constitue un facteur clé de succès pour surmonter efficacement ces situations stressantes. Les actions suivantes pourraient s'avérer nécessaires :

• Élaboration et tests de plans d'intervention réalistes en cas de cyberincidents (processus et responsabilités).
• Élaboration de mesures de rétablissement après les cyberattaques.

Obligations de reporting

La FINMA a clarifié sa Communication 05/2020 et indiqué qu'un rapport doit être soumis au key account manager chargé de la surveillance de l’établissement en son sein dans les 24 heures suivant la découverte de la cyberattaque (annonce informelle par courriel, téléphone ou autre ; y compris une première évaluation de la gravité de l’attaque avec une description de ce qui est connu lors de l’annonce). Ce signalement peut être retiré à tout moment si le seuil de matérialité d’annonce auprès de la FINMA n'est pas atteint. L’annonce complète doit néanmoins être soumise via la plateforme d'application (EHP) dans les 72 heures.

Les jours ouvrables bancaires officiels s'appliquent aux délais d'annonce de 24 ou 72 heures. Une exception est faite pour les cyberattaques d'un niveau de gravité "grave", qui doivent également être annoncées à la FINMA dans les 24 heures en dehors des jours ouvrables bancaires. Des mesures organisationnelles doivent être prises pour garantir le respect de ces délais.

Dans le cas d'externalisation, les établissements assujettis assument la même responsabilité que s’ils fournissaient eux-mêmes la fonction externalisée. Les délais de déclaration commencent donc à courir dès que l’assujetti ou le prestataire de services externes découvre le cyberincident. Le prestataire tiers doit donc être informé des obligations de déclaration et être en mesure de s'y conformer en coopération avec l’établissement.

Conclusion

La Communication FINMA 03/2024 fournit des informations spécifiques sur la gestion des cyberrisques pertinentes pour tous les établissements sous sa surveillance. Toutefois, le sujet des cyberrisques doit régulièrement être abordé au sein de la direction et du conseil d'administration des établissements plus petits, comme les gestionnaires de fortune, et , intégré dans la gestion des risques par la mise en place de contrôles dans le cadre du SCI. En outre, les mesures organisationnelles telles que les stratégies de sauvegarde appropriées et les contrôles du respect par les prestataires de services externes de leurs obligations en matière de cybersécurité ainsi que l’établissement de rapports doivent être effectués périodiquement.