En bref : la menace des cyberattaques
Les banques suisses doivent protéger leurs infrastructures contre différents types d'attaques. Outre le phishing, les logiciels malveillants et la perturbation de la disponibilité des ordinateurs, les scénarios débilitants auxquels les institutions financières suisses sont confrontées sont de plus en plus sophistiqués et complexes.
Dans le cadre de la révision de la circulaire SFMA 08/21 «Risques opérationnels – banques», la SFMA a décidé d'élargir ses dispositions sur l'infrastructure technologique en y incluant des aspects critiques de la gestion des cyber-risques. La circulaire impose aux banques et aux négociants en valeurs mobilières d'adopter une approche intégrée et systématique pour contrer les menaces du monde virtuel. L’approche doit inclure des mesures spécifiques de gouvernance, d’identification, de protection, de détection, de réponse et de récupération des systèmes et services menacés en lien avec les cyber-risques et attaques. La SFMA a également entrepris une évaluation des mesures prises par certaines banques pour contrer les cyberattaques. Cela comprenait l’ordre aux banques des catégories de surveillance 1 et 2 de réaliser des audits supplémentaires sur les cyber-risques. La SFMA a également demandé aux banques de la catégorie de surveillance 3 de participer à une auto-évaluation de leur mise en œuvre de mesures de lutte contre les cyberattaques. Les audits et l'auto-évaluation se sont concentrés sur les aspects critiques des cyber-risques tels qu'ils sont définis dans les dispositions d'exécution révisées.
Audit supplémentaire
Les audits supplémentaires ont mis en évidence des déficits persistants, notamment en ce qui concerne l'identification des cybermenaces potentielles et les mesures de protection. Sur la base de ces résultats, les banques concernées ont pris de nouvelles mesures pour accroître leur résilience.
Auto-évaluation
L'auto-évaluation a été conçue pour vérifier les progrès réalisés dans la mise en œuvre des mesures de lutte contre les cyber-risques et pour sensibiliser les banques de la catégorie de surveillance 3 aux aspects critiques. L'évaluation de l'auto-évaluation par les banques a révélé de grandes différences: certaines banques ont évalué presque toutes les mesures comme étant pleinement mises en œuvre, d'autres presque aucune d'entre elles. En ce qui concerne les aspects critiques, la détection des cyberattaques constitue un domaine particulièrement nécessitant des améliorations. Dans certains cas, il y avait un manque de mesures pour faire face à des scénarios de menace plus complexes; dans d'autres, le recours au suivi technique a dû être étendu. Cependant, il est également nécessaire d'agir sur d'autres aspects critiques.
Conclusion
En résumé, les audits supplémentaires et l'évaluation des auto-évaluations ont révélé qu'au début de l'année 2016, il restait encore beaucoup à faire pour garantir une résilience adéquate aux menaces du monde virtuel. Les dispositions d'exécution révisées devant entrer en vigueur le 1er juillet 2017, les banques des catégories de surveillance 1 à 3 ont donc lancé des projets visant spécifiquement à renforcer leur capacité à résister à une cyberattaque. L'auto-évaluation réalisée début 2016 dans les banques de la catégorie de surveillance 3 a révélé la nécessité d'améliorer tous les aspects clés de la gestion des cyber-risques. En particulier en ce qui concerne la détection rapide des cyberattaques, la majorité des participants n'avaient pas complètement mis en œuvre les mesures clés, voire pas du tout.
(Extrait du rapport annuel 2016)
Documents
Graphiques et informations visuelles
