Les institutions financières ont pour la plupart mis en place des processus robustes pour gérer leurs risques informatiques et leurs cyber-risques. Certaines améliorations restent toutefois possibles, notamment concernant la détection des cyberattaques et la réponse aux incidents.
Sur la base de notre analyse, les principales faiblesses en matière de gestion des cyber-risques auxquelles sont exposées les institutions financières sont les suivantes :
- La mise en oeuvre de mesures de sécurité n'est pas toujours en lien avec les menaces effectives qui devraient être identifiées par le biais d'un processus formel d'analyse des cyber-risques
- Les processus et outils en place accordent une importance prépondérante à la protection contre les cyberattaques au détriment de la détection et de la réaction
- Certaines institutions financières n'ont toujours pas mis en oeuvre les recommandations de l'ASB en matière de Business Continuity Management, datant de 2013
En conséquence, nous recommandons aux institutions financières de mieux équilibrer leurs efforts sur tout le spectre de la cybersécurité de la stratégie à la réaction et au rétablissement, en passant par l'identification, la protection et la détection.
Contexte
En septembre 2016, la FINMA a révisé sa circulaire 2008/21 Circ.- « Risques opérationnels ». Les changements comprenaient des exigences plus strictes en matière de gestion des risques informatiques et des cyber-risques pour les institutions financières (IF). La FINMA a demandé aux auditeurs externes des établissements de confirmer la mise en œuvre des concepts de gestion des risques informatiques et cyber-risques de l'IF, qui devaient être mis en place à partir du 1er juillet 2017.
Résultats de notre benchmark des concepts de gestion des risques informatiques et cyber-risques
PwC Suisse a évalué les niveaux de maturité des sept exigences suivantes, tirées du principe 4 de la Circ.- FINMA 2008/21 - « Risques opérationnels »et relatives aux risques informatiques et cyber-risques :
- Gestion des risques IT: La direction doit s’assurer qu’un concept de gestion des risques IT est mis en place ;
- Cyber-risque– stratégies et directives: La direction met en œuvre un concept de gestion des risques pour le traitement des cyber-risques qui répond au moins aux cinq exigences suivantes et définit les rôles et responsabilités y afférents ;
- Cyber-risque – identification: Les institutions financières doivent identifier les menaces potentielles résultant de cyberattaques ;
- Cyber-risque – protection: La direction doit protéger les processus opérationnels et l’infrastructure technologique contre les cyberattaques ;
- Cyber-risque – détection: L’établissement financier doit rapidement identifier et désigner les cyberattaques sur la base d’un processus de surveillance systématique de l’infrastructure technologique ;
- Cyber-risque – réaction: L’établissement financier doit réagir aux cyberattaques grâce à des mesures immédiates et ciblées;
- Cyber-risque – rétablissement: Les IF doivent garantir le rétablissement rapide de la marche normale des affaires et de l’infrastructure IT après une cyberattaque réussie.
Nous avons consolidé et rendu anonymes nos évaluations afin de créer un référentiel décrivant le statut des IF en termes de conformité aux exigences de la FINMA. Nous avons également recueilli des informations sur les outils de sécurité et les scénarios de risque envisagés par les IF inclus dans le panel de référence.
Nos évaluations sont fondées sur le jugement professionnel plutôt que sur des données quantifiables et objectives ; par conséquent, elles sont subjectives. Les résultats présentés ici sont basés sur l'évaluation d'un panel de 114 banques et 8 négociants en valeurs mobilières en Suisse, répartis sur le plan national comme suit :
- Suisse francophone: 24%
- Suisse germanophone: 71%
- Suisse italophone: 5%
Le barème que nous appliquons est le suivant :
| 4 | Les processus sont conformes aux meilleures pratiques du marché |
| 3 | Les processus sont robustes |
| 2 | Les processus sont adéquats et comportent certaines lacunes |
| 1 | Les processus sont définis mais présentent de nombreuses lacunes |
| 0 | Aucun processus n'est en place |
Afin de se conformer aux exigences de la FINMA, les IF doivent disposer de processus robustes (notation 3) ou alignés sur les meilleures pratiques (notation 4).
Nous avons classé les sept exigences couvertes par le principe 4 de la Circ.- FINMA 2008/21 « Risques opérationnels » de la plus mature à la moins mature.
Barème utilisé
Eléments clés
Une base solide en matière de gestion des risques informatiques (« Gestion des risques IT »)
Parmi le groupe de référence, 93 % disposent de processus de gestion des risques IT qui sont tout le moins « robustes » ou « conformes aux meilleures pratiques ». Ce pourcentage élevé s'explique par le fait que les IF se sont efforcés d'améliorer leurs processus de gestion des risques informatiques au cours des trois dernières années en réponse à l'examen approfondi de la gestion des risques par la FINMA.
La stratégie de cybersécurité est-elle alignée sur les cyber-risques ? (« Cyber-risque - stratégie et directives », « Cyber-risque – identification »)
Nous constatons que 24 % des membres du panel font preuve d'une maturité insuffisante en ce qui concerne la mise en œuvre d'un concept de gestion du cyber-risque (« Cyber-risque – stratégie et directives ») et l'identification des menaces potentielles résultant des cyberattaques (" Cyber-risque - identification "). Sur la base de ces chiffres, nous concluons que les cyberdéfenses des entreprises concernées pourraient ne pas être adaptées aux cyber-risques auxquels elles sont confrontées, ce qui pourrait conduire à la mise en œuvre de contrôles et de mesures de sécurité inadéquats.
Investissements majeurs dans les solutions de sécurité (« Cyber-risque – protection », « Cyber-risque – détection »)
L’étude comparative souligne le taux élevé d'adoption des outils de sécurité. Il est important de noter que nous utilisons le mot " adoption " et non " mise en œuvre ", car notre benchmark est fondé sur le jugement professionnel plutôt que sur des données quantifiables et objectives.
Au fil des ans, les institutions financières ont beaucoup investi dans des solutions techniques pour protéger leurs actifs et leur infrastructure d'information, ce qui explique le pourcentage élevé de participants ayant au moins des processus " robustes " (83 %).
Outre les équipements standard de sécurité des réseaux (IDS, par exemple), on observe une tendance à l'adoption de technologies de plus en plus avancées pour l'alerte de sécurité (analyse du comportement, SIEM, DLP, SOC, etc.). Celles-ci soutiennent plus efficacement la fonction de détection des cyber-risques ("Cyber-risque - détection") de la sécurité de l'information, où l'étude comparative révèle actuellement un manque de maturité. En effet, 19% des participants au benchmark ne sont pas entièrement conformes aux exigences de la FINMA dans ce domaine.
Il est également intéressant de noter que 68 % des membres du panel ont mis en place ou ont l'intention de mettre en œuvre un centre opérationnel de sécurité interne ou externe (SOC). Ce taux élevé d'adoption (potentielle) montre que les participants comprennent la complexité croissante des cyber-risques et la nécessité de structurer leurs capacités de défense et de détection pour faire face aux cyber-menaces.
Points forts du benchmark
Les institutions financières sont-elles en mesure de réagir aux cyberattaques et de se remettre d’une telle attaque ? (« Cyber-risque – réaction » et « Cyber-risque – rétablissement »)
Au cours des deux dernières années, nous avons constaté que les institutions financières forment leur personnel à faire face aux cyberattaques et, dans certains cas, à mener des exercices de simulation. C'est ce que reflète notre enquête auprès de 82 % des IF qui se conforment aux exigences de la FINMA en la matière.
La plupart des participants à l’analyse comparative ont mis en place un plan de continuité des activités (PCA) mature, fondé sur les recommandations de l'Association suisse des banquiers (ASB). Ces PCA ont été adaptés pour tenir compte des activités de rétablissement qui suivent une cyberattaque. Toutefois, nous constatons que 17 % des IF ont encore du travail devant eux en la matière, car ils ne se conforment pas entièrement aux exigences.
Quelles sont les principales préoccupations des IF ?
Comme l'ont démontré les événements récents, les logiciels malveillants constituent désormais un des principaux facteurs des cyberattaques. Les logiciels malveillants peuvent entraîner des dysfonctionnements majeurs, y compris la perte de données. Il s'agit clairement d'une préoccupation essentielle pour les IF (89 % des IF la considèrent comme une menace cruciale) tout comme le risque de fuite de données (également considéré comme une menace importante par 89 % des IF).
Il convient de noter que, même dans le secteur de la banque numérique, les IF interrogées sont moins préoccupées par les menaces qui pourraient affecter leur présence mobile ou en ligne (cet état de fait est certainement lié au nombre de banques privées comprises dans le panel). Alors que les IF déploient de nouveaux services numériques pour leurs clients, ces menaces potentielles supplémentaires devraient être soigneusement prises en compte dans toute nouvelle analyse de risques ; les profils de risque et les environnements de contrôle concernés devant être mis à jour en conséquence.
Actions recommandées
Sur la base des résultats de notre analyse, nous recommandons aux IF d’étudier les mesures suivantes:
1. Alignez votre stratégie en matière de cyber-risque à vos cyber-risques et faites concorder leur gestion avec votre cadre général de gestion des risques.
La FINMA a développé ses exigences sur la base de la norme cadre de cybersécurité NIST, également utilisée par l'Office fédéral de l'approvisionnement économique (OFAE).
Afin d'assurer une stratégie de cybersécurité cohérente, les organisations doivent comprendre et évaluer leurs risques particuliers en fonction de leur environnement. Une fois ces cyber-risques identifiés et évalués, les entreprises doivent identifier les contrôles (personnes, processus, technologie) pouvant traiter ces risques. Enfin, le management doit prendre en compte les risques résiduels. Sans une gestion adéquate et efficace des cyber-risques, les entreprises pourraient non seulement faire face à un impact sérieux sur leur résilience, mais aussi courir le risque de faire de mauvais investissements.
2. Allouez vos budgets auparavant consacrés à la protection à la détection et à l'intervention
Aujourd'hui, nous pouvons dire que les cyberattaques font désormais partie de la « nouvelle norme » de notre monde numérique connecté. Par conséquent, les IF doivent réaffecter les budgets liés à la sécurité de l'information, qui auparavant étaient consacrés à la protection, à des approches de détection et d'intervention rapides. Nous recommandons également aux IF de vérifier périodiquement leur « cyber-résilience » en organisant des tests de leur PCA dans l'éventualité d'une cyberattaque.
Comment PwC peut vous aider ?
En tant que société d'audit pluridisciplinaire, nous sommes particulièrement bien placés pour vous aider à vous adapter à l'évolution du contexte réglementaire. Nous avons développé une gamme d'outils exclusifs couvrant la détection et l'analyse des intrusions, la corrélation des événements et le renseignement sur les menaces. Sur la base de ces capacités et de notre grande expertise en matière de réglementation, nous avons conçu un service dédié pour vous aider à faire face aux défis réglementaires à venir.
Notre offre de services comprend une évaluation globale de votre état de préparation aux cyberattaques ainsi que des initiatives ciblées visant à répondre à chacune des exigences de la FINMA en matière de gestion des cyber-risques.