Dans le cadre de la révision de la circ.-FINMA 08/21 «Risques opérationnels – banques», la FINMA a décidé d’ajouter aux dispositions d’exécution sur l’infrastructure technologique des aspects essentiels concernant la gestion des cyberrisques. La circulaire exige des banques et des négociants en valeurs mobilières l’application d’un concept systématique et global pour repousser les menaces provenant du monde virtuel. Ce concept de cyberdéfense doit définir des mesures concrètes en matière de gouvernance, d’identification, de protection, de détection, de réaction et de rétablissement pour protéger les systèmes ou services menacés par des cyberrisques ou des cyberattaques.
En outre, la FINMA a évalué les mesures prises par certaines banques en matière de cyberattaques. Dans ce cadre, elle a ordonné, entre autres, des contrôles supplémentaires sur les cyberrisques dans les banques des catégories de surveillance 1 et 2. De plus, la FINMA a invité les banques de la catégorie de surveillance 3 à participer à une auto-évaluation du degré de mise en oeuvre des mesures destinées à combattre les cyberattaques. Tant les contrôles supplémentaires que l’auto-évaluation s’appuyaient sur les aspects essentiels des cyberrisques selon les dispositions d’exécution révisées.
Les contrôles supplémentaires ont révélé des lacunes, en particulier dans l’identification du potentiel de risque des cyberattaques et dans les dispositifs de protection. Sur la base de ces constatations, les banques concernées ont pris des mesures pour accroître leur résilience face aux cyberattaques.
L’auto-évaluation visait, d’une part, à déterminer le degré de mise en oeuvre des mesures liées à la gestion des cyberrisques et, d’autre part, à sensibiliser les banques de la catégorie de surveillance 3 aux aspects essentiels en la matière.
L’analyse de cette auto-évaluation des banques fournit une image hétéroclite. Certains établissements bancaires ont estimé que presque toutes les mesures avaient été entièrement mises en oeuvre, alors que d’autres ont admis n’en avoir implémenté intégralement pratiquement aucune.
Concernant les aspects essentiels de la gestion des cyberrisques, un besoin d’amélioration a été constaté dans la détection des cyberattaques notamment. D’un côté, des mesures réglant la gestion des menaces plus complexes font défaut ; de l’autre, l’utilisation de moyens techniques de surveillance devrait être étendue. Il faut cependant également agir au niveau des autres aspects essentiels.
En résumé, les contrôles supplémentaires et l’analyse de l’auto-évaluation ont révélé début 2016 que des efforts étaient encore nécessaires pour garantir une protection adéquate contre les menaces provenant du cyberespace. Les banques des catégories de surveillance 1 à 3 ont donc lancé des projets spécifiques pour accroître leur résilience face aux cyberattaques, notamment dans la perspective des dispositions d’exécution révisées, qui entreront en vigueur le 1er juillet 2017.
L’auto-évaluation réalisée début 2016 par les banques de la catégorie de surveillance 3 a révélé qu’il était nécessaire d’agir dans tous les aspects essentiels de la gestion des cyberrisques. En particulier, la plupart des banques participantes n’avaient pas encore ou pas du tout implémenté des mesures primordiales pour la détection rapide des cyberattaques.
(Extraits du rapport annuel 2016)