Résultats de la cybersurveillance 2021
Au cours de l'année sous revue, des cyberattaques réussies contre des entreprises établies de tous les secteurs industriels, tant en Suisse que dans le reste du monde, ont fait la une des journaux. La SFMA constate également un nombre croissant de cyberattaques signalées. Depuis l'entrée en vigueur, en septembre 2020, des précisions sur l'obligation de signaler les cyberattaques, telles que publiées dans le guide SFMA 05/2020, un total de 95 cyberattaques d'une importance substantielle pour les institutions concernées ont été signalées. Les institutions les plus touchées ont été les banques, suivies par les gestionnaires de fortune et les compagnies d'assurance.
La SFMA continue de considérer les cyber-risques comme l'un des principaux risques auxquels est confrontée la place financière suisse. Au cours de l'année sous revue, elle a donc alloué des ressources supplémentaires à ce domaine. Par rapport à 2020, la SFMA a également procédé à un nombre nettement plus élevé de contrôles sur site spécifiques à la cybersécurité.
Résultats des contrôles sur site et des cas signalés de cyberattaques majeures
Les établissements assujettis accordent une attention croissante aux cyber-risques, qu'ils identifient très souvent comme l'un de leurs principaux domaines de risque. Entre 2019 et 2021, la SFMA a presque triplé le nombre de contrôles sur place effectués dans les établissements. Une nouvelle augmentation du nombre de contrôles est prévue pour l’année 2022. Toutefois, au cours de l’année sous revue, il a également été constaté que certaines entreprises surveillées ne fournissaient pas de rapports réguliers sur ces risques à leur direction ou à leur conseil d’administration. En ce qui concerne l’identification des menaces potentielles de cyberattaques spécifiques à chaque institution, certaines institutions ne disposaient pas d’une définition claire de la portée et du contenu de leurs données critiques et/ou sensibles spécifiques à l’entreprise. Par conséquent, ces institutions ont fait état de difficultés dans la mise en œuvre des mesures de protection ciblées. Afin d'avoir une vision plus complète et plus réaliste de la capacité des établissements à résister aux cyberattaques, la surveillance cyber de la SFMA a pour la première fois comporté au cours de l'année sous revue deux analyses de scénarios de menaces différentes. Tout d’abord, les processus de détection et de réponse à une cyberattaque ont été testés au moyen d’exercices sur table simulant des scénarios d’attaque. Deuxièmement, la SFMA a chargé des spécialistes de réaliser des tests basés sur des scénarios, dans des conditions contrôlées et en concertation avec les institutions. La majorité des conclusions des contrôles sur place concernaient la protection des processus commerciaux et de l’infrastructure technologique. Certaines entreprises surveillées ont montré des marges d’amélioration dans les domaines de la formation et de la sensibilisation à la cybersécurité. Pour que les mesures de protection soient efficaces, il est essentiel de s'assurer que les collaborateurs à tous les niveaux hiérarchiques soient régulièrement informés des cyber-risques et qu'ils connaissent et comprennent les méthodes d'attaque les plus courantes, comme le phishing; ils doivent également savoir qui contacter au sein de l’entreprise s’ils détectent des signes d’une cyberattaque. Plus de la moitié des rapports reçus faisant état de cyberattaques d'importance substantielle impliquaient des attaques contre la disponibilité par déni de service distribué (DDoS). Depuis l’introduction de l’obligation de déclaration en septembre 2020, trois vagues de DDoS ont été observées au total. En particulier, la première vague de septembre 2020 a eu de graves conséquences et, dans certains cas, a affecté la disponibilité des infrastructures de travail à distance, des services en ligne, des infrastructures de messagerie et d’autres systèmes. Certaines institutions avaient négligé leurs mécanismes de défense dans ce domaine. La deuxième catégorie de signalement la plus fréquente concernait les attaques contre des tiers. Environ 25 % des entreprises assujetties concernées n'ont pas été attaquées directement; au lieu de cela, ils ont été attaqués indirectement via leurs principaux prestataires de services. En ce qui concerne l’identification et l’enregistrement des cyberattaques, il était clair que certaines institutions n’avaient pas réussi à surveiller leur infrastructure technologique de manière opportune et systématique. Dans certains cas, les données critiques des journaux n'étaient pas analysées, ou de telles analyses étaient effectuées uniquement pendant les heures de bureau. Au cours de l'année sous revue, la plupart des institutions ont mis en œuvre des mesures de précaution pour garantir le rétablissement rapide des activités normales à la suite d'événements extraordinaires. Toutefois, dans de nombreux cas, des mesures spécifiques pour rétablir les opérations suite à des cyberattaques font encore défaut. (Extrait du rapport annuel 2021)