Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland
Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland
Les cyber-risques représentent un énorme défi pour les entreprises de tous les secteurs et de toutes les tailles. Dans le secteur financier, qui a toujours été basé sur la confiance et qui travaille avec donnés sensibles des clients , la cybersécurité n'est pas seulement une nécessité réglementaire, mais un fondement de l'activité commerciale. Comme Les cyberattaques peuvent porter atteinte à l'intégrité des banques et causer des dommages considérables au marché financier , la FINMA a réagi , avec des conséquences également pour les petites banques.
La menace que représentent les cyberrisques s'est considérablement intensifiée ces dernières années. La numérisation et la mise en réseau croissantes des systèmes, des processus et des chaînes d'approvisionnement ouvrent aux cybercriminels une surface d'attaque de plus en plus grande. Ces derniers utilisent des méthodes de plus en plus sophistiquées pour accéder à des données sensibles ou saboter des systèmes afin d'obtenir de l'argent ou de nuire à la réputation d'une institution, par exemple. En raison de son rôle économique central et de son modèle d'entreprise basé sur la confiance, le système bancaire en particulier est soumis à une pression constante pour se protéger contre diverses cybermenaces, allant de la fraude et du vol de données à des attaques ciblées contre la stabilité des systèmes financiers.
Face à cette évolution, l'Autorité fédérale de surveillance des marchés financiers (FINMA) a précisé et considérablement renforcé les exigences en matière de cybersécurité pour les banques avec la circulaire FINMA 2023/1 "Risques opérationnels et résilience - banques", qui est entrée en vigueur début janvier 2024. Elle s'appuie sur des circulaires antérieures et exige des ajustements importants dans le traitement des risques liés aux technologies de l'information et de la communication (risques TIC), des données critiques, des prestataires de services externes et des considérations générales en matière de résilience. Les exigences de la FINMA en matière de cybersécurité se fondent sur les normes mondiales du National Institute of Standards and Technology (NIST). Le NIST aborde les cinq phases cycliques des cyberrisques : Identifier, Protéger, Détecter, Répondre et Récupérer. Les points de contrôle de la FINMA (publication 09.01.24) sont également définis en fonction de ces phases du NIST, en plus des exigences claires en matière de gouvernance et de gestion des risques. Il est important dans ce contexte que la nouvelle circulaire soit lue conjointement avec les circulaires de la FINMA 2017/1 " Gouvernance d'entreprise - banques " et 2018/3 " Externalisation " déjà applicables, car les dispositions relatives à la gouvernance et à la gestion des risques en font partie intégrante, même en cas d'externalisation de services cyberpertinents. Dans sa communication de surveillance du 7 juin 2018, la FINMA a une nouvelle fois souligné l'importance accordée à la gouvernance et à la surveillance de l'externalisation. L'objectif principal des efforts réglementaires dans le secteur bancaire est d'accroître la résilience et la sécurité des banques.
Qu'est-ce que cela signifie en pratique ? En 2024 et au-delà, les nouvelles exigences seront examinées par les auditeurs réglementaires dans toutes les institutions bancaires, et pas seulement les grandes banques comme auparavant, avec la profondeur d'intervention "audit". Les interventions en matière de cybersécurité seront plus larges et plus approfondies que dans le cadre de l'"ancienne" réglementation.
Si les banques veulent améliorer leur cybersécurité et obtenir de bons résultats lors de ces audits, elles doivent s'améliorer dans les domaines suivants : "gouvernance, reporting et gestion des risques", "identification et évaluation des risques", "mesures et cadre de protection", "détection et réponse", "récupération et résilience" et "gestion des vulnérabilités et tests de pénétration". Résumé en termes concrets :
Dans la pratique, les banques externalisent des systèmes (bancaires centraux), des applications, des outils, voire des départements informatiques entiers. Cela rend la mise en œuvre de ces mesures encore plus complexe. Par exemple, alors que la stratégie, y compris la tolérance au risque, doit être définie par les banques elles-mêmes, les mesures techniques doivent être mises en œuvre par des tiers externes. Les banques sont responsables de la mise en œuvre de mesures de surveillance appropriées et de la réaction à d'éventuelles faiblesses chez les fournisseurs tiers. Par ailleurs, les banques doivent s'acquitter de leur obligation d'annoncer à temps les cyberincidents à la FINMA et au Centre national de cybersécurité (CNS), même si ces incidents se produisent chez un prestataire de services.
Les banques doivent d'abord développer une compréhension approfondie des cyberrisques et des menaces auxquels elles sont exposées et définir les risques contre lesquels elles veulent se protéger au niveau institutionnel. Une stratégie de sécurité efficace doit être intégrée dès le départ dans les processus opérationnels afin d'éviter des coûts de suivi élevés. La stratégie de sécurité doit être appliquée à tous les niveaux de l'organisation et définir clairement les responsabilités, y compris celles du conseil d'administration et de la direction générale. Enfin, les fonctions de contrôle au sein de la banque doivent également être renforcées. Il est essentiel d'impliquer les bonnes fonctions et les bonnes personnes dans l'organisation à un stade précoce pour s'assurer que les considérations de sécurité font partie intégrante de la stratégie et des opérations de l'entreprise. En outre, il convient de prendre les bonnes décisions concernant les processus qui peuvent être externalisés et ceux qui doivent rester en interne, tout en assurant le contrôle des prestataires de services.
Les considérations et mesures susmentionnées ont également un impact économique. Le développement (l'expansion) de la stratégie, de la gestion des risques et de l'expertise généralement adéquate est associé à des coûts. Les mécanismes de contrôle accrus, tels que la fréquence d'audit plus élevée de la deuxième et/ou de la troisième ligne de défense ou les investissements dans des systèmes de protection et/ou de surveillance adéquats, sont également associés à des coûts. En ce qui concerne l'externalisation, les banques doivent s'assurer que leurs prestataires de services mettent en œuvre des mesures de sécurité appropriées. Les banques peuvent être amenées à investir dans leur capacité à contrôler ces risques ou à faire appel à une expertise externe. Cela entraînera probablement une augmentation des coûts d'exploitation, mais il s'agit d'une étape nécessaire pour garantir la stabilité institutionnelle à long terme et éviter de graves violations de la sécurité. Toutefois, ces investissements et ces coûts supplémentaires sont également nécessaires pour renforcer la sécurité des banques et ne pas perdre la confiance des clients et de la société. Un incident cybernétique grave coûte à l'institution touchée plus que les investissements nécessaires. C'est pourquoi la question stratégique qui se pose dans le domaine de la cybernétique est la suivante : combien vaut la confiance de mes clients pour moi, en tant que banque, et combien suis-je prêt à payer ? Dans cette tâche complexe et à plusieurs niveaux, l'intervention d'experts externes peut s'avérer très utile. En effet, l'élaboration d'une stratégie globale et la mise en œuvre de mesures efficaces sont la clé d'une gestion intelligente des risques dans un monde de plus en plus numérique.
Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland