La cybersécurité stratégique est la base de la confiance et de la rentabilité dans le secteur bancaire

Johannes Dohren
Partner, Cybersecurity and Privacy, PwC Switzerland

Alexander Locher
Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland

Les cyber-risques représentent un énorme défi pour les entreprises de tous les secteurs et de toutes les tailles. Dans le secteur financier, qui a toujours été basé sur la confiance et qui travaille avec donnés sensibles des clients , la cybersécurité n'est pas seulement une nécessité réglementaire, mais un fondement de l'activité commerciale. Comme Les cyberattaques peuvent porter atteinte à l'intégrité des banques et causer des dommages considérables au marché financier , la FINMA a réagi , avec des conséquences également pour les petites banques.

cyber security

La menace que représentent les cyberrisques s'est considérablement intensifiée ces dernières années. La numérisation et la mise en réseau croissantes des systèmes, des processus et des chaînes d'approvisionnement ouvrent aux cybercriminels une surface d'attaque de plus en plus grande. Ces derniers utilisent des méthodes de plus en plus sophistiquées pour accéder à des données sensibles ou saboter des systèmes afin d'obtenir de l'argent ou de nuire à la réputation d'une institution, par exemple. En raison de son rôle économique central et de son modèle d'entreprise basé sur la confiance, le système bancaire en particulier est soumis à une pression constante pour se protéger contre diverses cybermenaces, allant de la fraude et du vol de données à des attaques ciblées contre la stabilité des systèmes financiers.

Face à cette évolution, l'Autorité fédérale de surveillance des marchés financiers (FINMA) a précisé et considérablement renforcé les exigences en matière de cybersécurité pour les banques avec la circulaire FINMA 2023/1 "Risques opérationnels et résilience - banques", qui est entrée en vigueur début janvier 2024. Elle s'appuie sur des circulaires antérieures et exige des ajustements importants dans le traitement des risques liés aux technologies de l'information et de la communication (risques TIC), des données critiques, des prestataires de services externes et des considérations générales en matière de résilience. Les exigences de la FINMA en matière de cybersécurité se fondent sur les normes mondiales du National Institute of Standards and Technology (NIST). Le NIST aborde les cinq phases cycliques des cyberrisques : Identifier, Protéger, Détecter, Répondre et Récupérer. Les points de contrôle de la FINMA (publication 09.01.24) sont également définis en fonction de ces phases du NIST, en plus des exigences claires en matière de gouvernance et de gestion des risques. Il est important dans ce contexte que la nouvelle circulaire soit lue conjointement avec les circulaires de la FINMA 2017/1 " Gouvernance d'entreprise - banques " et 2018/3 " Externalisation " déjà applicables, car les dispositions relatives à la gouvernance et à la gestion des risques en font partie intégrante, même en cas d'externalisation de services cyberpertinents. Dans sa communication de surveillance du 7 juin 2018, la FINMA a une nouvelle fois souligné l'importance accordée à la gouvernance et à la surveillance de l'externalisation. L'objectif principal des efforts réglementaires dans le secteur bancaire est d'accroître la résilience et la sécurité des banques.

La cybersécurité n'affecte pas seulement les (grandes) banques

Qu'est-ce que cela signifie en pratique ? En 2024 et au-delà, les nouvelles exigences seront examinées par les auditeurs réglementaires dans toutes les institutions bancaires, et pas seulement les grandes banques comme auparavant, avec la profondeur d'intervention "audit". Les interventions en matière de cybersécurité seront plus larges et plus approfondies que dans le cadre de l'"ancienne" réglementation.

Si les banques veulent améliorer leur cybersécurité et obtenir de bons résultats lors de ces audits, elles doivent s'améliorer dans les domaines suivants : "gouvernance, reporting et gestion des risques", "identification et évaluation des risques", "mesures et cadre de protection", "détection et réponse", "récupération et résilience" et "gestion des vulnérabilités et tests de pénétration". Résumé en termes concrets :


Les responsabilités au sein de l'institution, y compris celles du conseil d'administration / conseil de banque et de la direction, doivent être clairement définies. Ces responsabilités doivent être reflétées dans les directives et concrétisées dans les organes de décision et de surveillance. Cela implique, par exemple, que l'organe de direction définisse et approuve annuellement une stratégie de risque, y compris la tolérance qualitative et quantitative au risque. Par conséquent, les rapports sur les cyberrisques et les contrôles doivent être conçus de manière appropriée et compréhensible pour le public cible. En ce qui concerne la surveillance des risques, il convient de prévoir davantage d'"examens" et d'"audits".

La cybersécurité doit se voir attribuer sa propre catégorie de risque dans le cadre de la gestion des risques opérationnels. Par conséquent, les cyberrisques doivent être systématiquement identifiés et évalués. Les facteurs externes, tels que les informations provenant du darknet, et les facteurs internes, tels que les résultats de la formation à la cyberconscience, doivent être pris en compte. Les mesures de sensibilisation à la cybernétique contribuent également à accroître l'efficacité de l'identification des risques. Une identification efficace comprend également le catalogage et l'évaluation complets et précis des composants TIC et des interfaces avec des tiers, l'examen des contrôles clés pour l'exhaustivité et l'exactitude de l'inventaire et l'évaluation des procédures d'identification des menaces et de leurs conséquences.

Le concept de protection doit être basé sur la situation et la stratégie de risque identifiées. Il comprend des mécanismes de protection dans le domaine des contrôles d'accès, des mesures visant à prévenir la perte de données (prévention de la perte de données), des mesures de sécurité du réseau et de l'infrastructure, telles que divers pare-feu, ainsi que la mise en œuvre et le respect de configurations standard et le durcissement du système.

Dans ce domaine, les institutions ont besoin d'outils et de cas d'utilisation appropriés pour détecter et analyser les anomalies sur la base de différents points de données. Toutefois, il est d'abord nécessaire de définir ce qui est considéré comme une anomalie et jusqu'où les analyses doivent s'étendre. Les banques doivent également se préparer aux situations d'urgence et définir et tenir à jour des plans d'intervention.

Les banques ont besoin de plans et de processus adéquats pour rétablir la situation normale. L'accent doit être mis sur les processus de sauvegarde et sur l'endroit où les données sont stockées. Les processus de rétablissement doivent être régulièrement testés pour vérifier leur efficacité opérationnelle et tirer les leçons des faiblesses.

Les analyses de vulnérabilité et les tests de pénétration sont depuis longtemps familiers au secteur. Toutefois, les analyses et leurs rapports ne sont pas les seuls éléments à prendre en compte pour démontrer l'efficacité de la gestion des vulnérabilités. Les banques feraient bien de démontrer que les vulnérabilités sont comblées rapidement et que les processus mis en place à cet effet sont efficaces. En outre, il est essentiel que les analyses de vulnérabilité et les tests de pénétration soient effectués par des parties compétentes.

Dans la pratique, les banques externalisent des systèmes (bancaires centraux), des applications, des outils, voire des départements informatiques entiers. Cela rend la mise en œuvre de ces mesures encore plus complexe. Par exemple, alors que la stratégie, y compris la tolérance au risque, doit être définie par les banques elles-mêmes, les mesures techniques doivent être mises en œuvre par des tiers externes. Les banques sont responsables de la mise en œuvre de mesures de surveillance appropriées et de la réaction à d'éventuelles faiblesses chez les fournisseurs tiers. Par ailleurs, les banques doivent s'acquitter de leur obligation d'annoncer à temps les cyberincidents à la FINMA et au Centre national de cybersécurité (CNS), même si ces incidents se produisent chez un prestataire de services.

Défi économique

Les banques doivent d'abord développer une compréhension approfondie des cyberrisques et des menaces auxquels elles sont exposées et définir les risques contre lesquels elles veulent se protéger au niveau institutionnel. Une stratégie de sécurité efficace doit être intégrée dès le départ dans les processus opérationnels afin d'éviter des coûts de suivi élevés. La stratégie de sécurité doit être appliquée à tous les niveaux de l'organisation et définir clairement les responsabilités, y compris celles du conseil d'administration et de la direction générale. Enfin, les fonctions de contrôle au sein de la banque doivent également être renforcées. Il est essentiel d'impliquer les bonnes fonctions et les bonnes personnes dans l'organisation à un stade précoce pour s'assurer que les considérations de sécurité font partie intégrante de la stratégie et des opérations de l'entreprise. En outre, il convient de prendre les bonnes décisions concernant les processus qui peuvent être externalisés et ceux qui doivent rester en interne, tout en assurant le contrôle des prestataires de services.

Les considérations et mesures susmentionnées ont également un impact économique. Le développement (l'expansion) de la stratégie, de la gestion des risques et de l'expertise généralement adéquate est associé à des coûts. Les mécanismes de contrôle accrus, tels que la fréquence d'audit plus élevée de la deuxième et/ou de la troisième ligne de défense ou les investissements dans des systèmes de protection et/ou de surveillance adéquats, sont également associés à des coûts. En ce qui concerne l'externalisation, les banques doivent s'assurer que leurs prestataires de services mettent en œuvre des mesures de sécurité appropriées. Les banques peuvent être amenées à investir dans leur capacité à contrôler ces risques ou à faire appel à une expertise externe. Cela entraînera probablement une augmentation des coûts d'exploitation, mais il s'agit d'une étape nécessaire pour garantir la stabilité institutionnelle à long terme et éviter de graves violations de la sécurité. Toutefois, ces investissements et ces coûts supplémentaires sont également nécessaires pour renforcer la sécurité des banques et ne pas perdre la confiance des clients et de la société. Un incident cybernétique grave coûte à l'institution touchée plus que les investissements nécessaires. C'est pourquoi la question stratégique qui se pose dans le domaine de la cybernétique est la suivante : combien vaut la confiance de mes clients pour moi, en tant que banque, et combien suis-je prêt à payer ? Dans cette tâche complexe et à plusieurs niveaux, l'intervention d'experts externes peut s'avérer très utile. En effet, l'élaboration d'une stratégie globale et la mise en œuvre de mesures efficaces sont la clé d'une gestion intelligente des risques dans un monde de plus en plus numérique.


Contactez nous

Johannes Dohren

Partner, Cybersecurity and Privacy, PwC Switzerland

+41 58 792 22 20

Email

Alexander Locher

Senior Manager, Risk Consulting and Internal Audit Financial Services, PwC Switzerland

Email