Nouvelle approche et orientation en matière de cybersurveillance
La dépendance à l'égard des technologies de l'information et de la communication a continué d'augmenter en 2020. Cette tendance est motivée par les stratégies de numérisation mises en œuvre par les établissements surveillés et a été encore intensifiée par la forte transition vers le travail à domicile provoquée par la pandémie. Cette dépendance a rendu les institutions financières de plus en plus vulnérables aux cyberattaques. La SFMA estime donc que ce risque est encore plus élevé que l'année précédente. Elle le considère comme l'un des sept principaux risques auxquels est confrontée la place financière suisse.
La SFMA a donc encore renforcé ses moyens dans ce domaine en 2020. Ils seront déployés sur la base d'une approche de surveillance dans laquelle les établissements seront surveillés dans trois domaines: l'analyse de la menace, la surveillance continue et la gestion des incidents ou, selon le cas, la gestion des crises. Cette approche a été introduite au début de l'année sous revue et permet une surveillance cohérente, à l'échelle de la SFMA, des cyber-risques auxquels sont confrontées toutes les entreprises surveillées. En termes de mise en œuvre opérationnelle de l’approche de surveillance, l’accent a été mis sur l’identification de la menace, la réalisation d’expertises sur les demandes d’autorisation – en particulier dans le domaine des Fin-Tech – et la réalisation de contrôles de surveillance sur place des institutions financières. Pour la SFMA, il est primordial d’être informé le plus tôt possible lorsque des entreprises surveillées sont confrontées à des cyberincidents critiques. Cela lui permet d'assister les entreprises surveillées dans des situations de crise et, le cas échéant, de prendre des mesures pour que les autres établissements soient avertis d'attaques identiques ou similaires. Ainsi, les entreprises assujetties sont tenues de signaler à la SFMA toute cyberattaque majeure visant leurs fonctions critiques. Les exigences liées à cette obligation de déclaration selon l'article 29 al. 2 de la loi sur la surveillance des marchés financiers (loi SFMA) ont été définis en étroite concertation avec les entreprises surveillées et notifiés dans la directive SFMA 05/2020. (Extrait du rapport annuel 2020)