Cyber-risques (2023/2)
Les cyber-risques auxquels le marché financier est confronté restent élevés. La gestion des cyber-risques a donc été au centre de l'activité de surveillance de la SFMA en 2023.
Comme les années précédentes, la SFMA a directement mené des contrôles sur place spécifiques à la cybersécurité auprès de plus d'une douzaine d'établissements, en plus des audits réguliers effectués par des cabinets d'audit. En outre, de nombreux échanges prudentiels portant sur la question des cyber-risques ont eu lieu avec des institutions d'importance systémique.
Le nombre de cyberattaques reste élevé
Le nombre de rapports soumis à la SFMA concernant des cyberattaques réussies contre des entreprises surveillées est resté stable aux niveaux enregistrés en 2022. La SFMA a largement rendu compte de ces attaques dans le Risk Monitor 2023. Les attaques visant les prestataires de services externes des entreprises assujetties se sont également multipliées. En 2022, ces attaques représentaient environ 50 % des cyberattaques signalées. Cette tendance s'est poursuivie en 2023 à un rythme légèrement plus lent (voir à cet égard les commentaires dans le rapport annuel 2022 et dans le Risk Monitor 2022).
L'expérience des années précédentes a montré que les attaquants ciblaient de plus en plus les petites institutions et que ces institutions étaient touchées par un nombre de cyberattaques réussies supérieur à la moyenne. Afin de faciliter une meilleure évaluation de ces risques, une analyse approfondie a été réalisée pour évaluer l'état de préparation des petites et moyennes entreprises d'assurance et des gestionnaires de portefeuille sélectionnés.
Résultats de la cybersurveillance : déficiences dans le domaine de la gouvernance et identification des menaces potentielles
Une grande partie des déficiences identifiées par la SFMA lors de ses contrôles sur place spécifiques à la cybersécurité se situent dans le domaine de la gouvernance. La SFMA a souvent identifié une frontière floue entre la première et la deuxième ligne de défense, en particulier parmi les institutions de taille moyenne. Il est important que la gestion opérationnelle des cyber-risques soit contrôlée en permanence par un organisme de contrôle des risques indépendant afin que la troisième ligne de défense puisse concentrer ses audits sur les cyber-risques les plus importants pour l'établissement.
Les lacunes dans l'identification des menaces potentielles spécifiques à l'établissement constituent le deuxième problème le plus fréquemment identifié par la SFMA au cours de ses contrôles sur place. Certaines institutions ne disposent toujours pas d’une définition claire de ce que comprennent leurs données critiques. De plus, ils ne savent souvent pas lesquels de leurs employés ont accès aux données critiques, car ils ne disposent pas d'un outil d'autorisation central. Il est donc plus difficile pour l'organisation de sécurité de l'établissement d'établir des mesures de protection axées sur les données les plus importantes.
La SFMA a également identifié des lacunes dans les mesures de protection visant à prévenir les pertes de données, l'absence de scénario cyber dans les systèmes de gestion de la continuité d'activité et des plans de sauvegarde ou de restauration insuffisamment mis en œuvre ou non testés.
Cyber-risques plus élevés associés à l'externalisation
Au cours de l'année 2023, la SFMA a clairement exprimé ses attentes en matière d'externalisation: les entreprises surveillées peuvent externaliser leurs services. mais pas la responsabilité associée.
En 2023, la proportion de cyberattaques contre des institutions affectant les technologies de l'information et des communications externalisées à des tiers a continué d'augmenter. Les résultats des contrôles sur place ont montré que cette tendance était due à l’incapacité de fournir aux prestataires de services mandatés des exigences claires en matière de cybersécurité, ou à l’incapacité de contrôler ou de contrôler régulièrement le respect de ces exigences. Les principaux prestataires de services étaient ainsi au centre du travail de surveillance des cyber-risques. L'objectif de la SFMA était de découvrir pourquoi les attaques contre les prestataires de services obtenaient des taux de réussite supérieurs à la moyenne.
- La SFMA a fréquemment observé que les entreprises directement supervisées parvenaient à maîtriser rapidement leurs vulnérabilités les plus graves et à éviter ainsi des dommages directs. Cependant, leurs prestataires de services ne parvenaient souvent pas à agir avec le même niveau d'efficacité et n'étaient pas suffisamment préparés à faire face à des cyberattaques réussies.
- Dans les cas impliquant de graves failles de sécurité, seul un très petit nombre d'institutions communiquaient avec leurs prestataires de services pour s'assurer qu'ils étaient en mesure de combler ces failles rapidement et avant qu'un préjudice ne survienne.
- Dans de nombreux cas, les institutions ne disposaient pas d'un inventaire complet de leurs prestataires de services. Il y avait également un manque d'informations supplémentaires indiquant que les données critiques sont stockées chez un fournisseur de services ou qu'un fournisseur de services est chargé de fournir une fonction critique. Ainsi, bien que les institutions aient soumis à la SFMA des rapports concernant des cyberattaques contre leurs prestataires ayant entraîné des pertes de données critiques, elles n’ont pas réussi à enregistrer le prestataire comme « majeur » ou « critique » dans l’inventaire. En conséquence, les prestataires de services étaient souvent surveillés de manière incomplète, voire inexistants.
- Cette observation va de pair avec le constat décrit ci-dessus en matière d'identification, dans lequel les institutions concernées manquaient d'une définition claire de ce qui constitue pour eux des données critiques. Non seulement cela empêche la mise en œuvre de mesures internes de protection des données pertinentes, mais cela rend également plus difficile la classification appropriée du prestataire de services et la détermination des mesures de surveillance nécessaires pour réduire les risques identifiés.
(Extrait du rapport annuel 2023)