FINMA : Com­mu­ni­ca­ti­on pru­den­ti­el­le 03/2024 sur les cyber-risques

FR 
FR  DE  EN 

de

sur le site

Bran­ches

,

Auto­ri­té

Lois

Thè­mes

,
Ven­te à emporter (AI)
  • La FINMA publie le com­mu­ni­qué de sur­veil­lan­ce 03/2024 avec des ens­eig­ne­ments, des pré­cis­i­ons sur l’ob­li­ga­ti­on d’an­non­cer et des indi­ca­ti­ons sur les cyber-exer­ci­ces basés sur des scénarios.
  • Des lacu­nes importan­tes dans la gesti­on des pre­sta­tai­res de ser­vices : absence d’in­ven­tai­res, con­trô­les lacun­aires et inté­gra­ti­on insuf­fi­san­te dans le système de con­trô­le interne.
  • Gou­ver­nan­ce, mesu­res de pro­tec­tion et plans de récup­é­ra­ti­on insuf­fi­sants ; for­ma­ti­on et pré­ven­ti­on des per­tes de don­nées sou­vent incomplètes.
  • Obli­ga­ti­ons de décla­ra­ti­on pré­cis­ées : pre­miè­re décla­ra­ti­on 24 heu­res, décla­ra­ti­on com­plè­te 72 heu­res, les délais en cas d’ex­ter­na­li­sa­ti­on s’ap­pli­quent à par­tir du moment où le four­nis­seur est con­nu ; exer­ci­ces basés sur des scé­na­ri­os prescrits.

Le 7 juin 2024, la FINMA a publié une com­mu­ni­ca­ti­on pru­den­ti­el­le 03/2024 sur les cyber-ris­ques publié (ent­re aut­res alle­mand et anglais).

La com­mu­ni­ca­ti­on pru­den­ti­el­le de la FINMA “03/2024 – Ens­eig­ne­ments tirés de l’ac­ti­vi­té de sur­veil­lan­ce des cyber-ris­ques, pré­cis­i­ons sur la com­mu­ni­ca­ti­on pru­den­ti­el­le de la FINMA 05/2020 et sur les cyber-exer­ci­ces basés sur des scé­na­ri­os” contient

  • Ens­eig­ne­ments tirés de l’ac­ti­vi­té de sur­veil­lan­ce des cyber-ris­ques de la FINMA, ent­re aut­res des “deep dives” auprès des banques ;
  • une pré­cis­i­on sur la Com­mu­ni­qué de la FINMA sur la sur­veil­lan­ce 05/2020 sur la noti­fi­ca­ti­on obli­ga­toire des cyber-atta­ques ; et
  • Remar­ques sur les cyber-exer­ci­ces basés sur des scé­na­ri­os, con­for­mé­ment à la cir­culai­re Ris­ques opé­ra­ti­on­nels et résilience.

Ens­eig­ne­ments tirés des acti­vi­tés de sur­veil­lan­ce des cyber-risques

Dans le cad­re de con­trô­les sur place, notam­ment auprès de ban­ques (“deep dives”), la FINMA a ten­té de répond­re à la que­sti­on de savoir quels fac­teurs avai­ent une importance par­ti­cu­liè­re pour le suc­cès des cyberattaques.

Sur Niveau des pre­sta­tai­res de ser­vices le tableau est appa­rem­ment déce­vant. Dans l’en­sem­ble, il man­que sou­vent une visi­on clai­re des pre­sta­tai­res de ser­vices, de l’im­portance des pre­sta­ti­ons qu’ils four­nis­sent dans le cad­re des acti­vi­tés de l’é­ta­blis­se­ment, des ris­ques liés à l’ex­ter­na­li­sa­ti­on ain­si que de la natu­re et de l’im­portance des don­nées trai­tées. L’in­té­gra­ti­on des con­trô­les des ris­ques dans le SCI et l’é­ch­an­ge ent­re l’é­ta­blis­se­ment et le pre­sta­tai­re sem­blent éga­le­ment fai­re défaut :

  • Seuls “très peu” d’é­ta­blis­se­ments éch­an­gent avec les prin­ci­paux pre­sta­tai­res de ser­vices après avoir iden­ti­fié des fail­les de sécu­ri­té, afin qu’ils les comblent.
  • Cer­ta­ins pre­sta­tai­res de ser­vices ont appa­rem­ment été nég­li­gents dans la cor­rec­tion des points faibles.
  • Très sou­vent”, il man­que un inven­tai­re com­plet des pre­sta­tai­res de ser­vices, y com­pris des fonc­tions cri­ti­ques ou des don­nées cri­ti­ques stockées chez le pre­sta­tai­re de ser­vices. Le con­trô­le des pre­sta­tai­res de ser­vices était donc lacunaire.
  • Il sem­ble que cer­ta­ins éta­blis­se­ments ne sai­sis­sent pas cor­rec­te­ment des sous-con­trac­tants importants.
  • La clas­si­fi­ca­ti­on des don­nées cri­ti­ques pose éga­le­ment pro­blè­me – “les insti­tuts con­cer­nés n’a­vai­ent pour la plu­part pas clai­re­ment défi­ni” ce qu’é­tai­ent pour eux les don­nées critiques.

Aus­si pour la Gou­ver­nan­ce la FINMA a con­sta­té des lacunes :

  • Les éta­blis­se­ments de tail­le moy­enne ne déli­mi­tent sou­vent pas cor­rec­te­ment le trai­te­ment opé­ra­ti­on­nel des cyber-ris­ques et l’in­stance de con­trô­le indépendante.
  • Les men­aces poten­ti­el­les de cyber-ris­ques ne sont sou­vent pas cor­rec­te­ment iden­ti­fi­ées et les droits d’ac­cès des col­la­bo­ra­teurs sont sou­vent peu clairs, fau­te d’un outil d’au­to­ri­sa­ti­on centralisé.
  • Un cer­tain nombre” d’é­ta­blis­se­ments n’ont pas inté­g­ré expli­ci­te­ment les cyber-ris­ques dans la gesti­on des ris­ques opérationnels.
  • Cer­ta­ins éta­blis­se­ments régle­men­tés” n’ont pas suf­fi­sam­ment défi­ni les cyber-ris­ques et leur appé­tit pour le ris­que ou leur tolé­rance au risque.

Pour les Mesu­res de pro­tec­tion la FINMA voit les lacu­nes sui­van­tes, même si la “ten­dance” est glo­ba­le­ment positive :

  • Les mesu­res de pro­tec­tion pour la pré­ven­ti­on des per­tes de don­nées (DLP) se con­cent­rent trop étroi­te­ment sur les CID ou les numé­ros de car­tes de cré­dit. D’aut­res don­nées cri­ti­ques tel­les que les “don­nées per­son­nel­les sen­si­bles”, les secrets com­mer­ci­aux, la pro­prié­té intellec­tu­el­le, etc. ne sont sou­vent pas pri­ses en compte.
  • Cer­ta­ins éta­blis­se­ments ne testent pas la rési­li­ence de leurs pro­ce­s­sus de sau­vegar­de et de leurs plans de restau­ra­ti­on en cas d’at­taque de ran­som­wa­re, par exemple.
  • Dans un “grand nombre” d’in­sti­tuts, la for­ma­ti­on et la sen­si­bi­li­sa­ti­on dans le domaine cyber­né­tique sont insuffisantes.

Lors de la Détec­tion, réac­tion et récup­é­ra­ti­on après une cyber-attaque la FINMA voit les modè­les suivants :

  • Cer­ta­ins éta­blis­se­ments ne dis­po­sai­ent pas de plans de réac­tion suf­fi­sants en cas de cyberincident.
  • Cer­ta­ins éta­blis­se­ments ne sur­veil­lent pas leurs tech­no­lo­gies de l’in­for­ma­ti­on et de la com­mu­ni­ca­ti­on en temps uti­le et de maniè­re systématique.
  • Sou­vent, aucu­ne mesu­re de récup­é­ra­ti­on spé­ci­fi­que n’é­tait défi­nie après des cyberattaques.

Le tableau que dres­se ici la FINMA n’est pas sur­prenant et ne se limi­te évi­dem­ment pas aux sec­teurs régle­men­tés. La pro­tec­tion cont­re les ris­ques ne peut être effi­cace que si elle prend en comp­te tous les com­po­sants du système, c’est-à-dire si les inter­faces avec les ser­vices exter­nes sont éga­le­ment pri­ses en comp­te dans l’éva­lua­ti­on des ris­ques, et si les pro­ce­s­sus de gesti­on des ris­ques sont pen­sés jus­qu’au bout. De nombreu­ses ent­re­pri­ses ont une visi­on quel­que peu insu­lai­re de leur pro­pre domaine, sans prend­re suf­fi­sam­ment en comp­te la core­sponsa­bi­li­té des inter­faces et des ser­vices ache­tés. Or, une part importan­te des cyberat­ta­ques pas­se par les four­nis­seurs d’ac­cès. Selon des sources publi­ques, envi­ron 40% des cyber-atta­ques via la chaî­ne d’ap­pro­vi­si­on­ne­ment, et plus de 90% de tou­tes les ent­re­pri­ses serai­ent con­cer­nées par de tel­les attaques.

Pré­cis­i­ons sur la com­mu­ni­ca­ti­on pru­den­ti­el­le de la FINMA Obli­ga­ti­on de décla­rer les cyber-attaques

Le 7 mai 2020, la FINMA a publié son com­mu­ni­qué de sur­veil­lan­ce 05/2020 – Obli­ga­ti­on de décla­rer les cyberat­ta­ques publié. Depuis lors, elle a reçu “diver­ses deman­des con­cer­nant leur inter­pré­ta­ti­on”, notam­ment ces der­niers temps dans le cad­re de la nou­vel­le cir­culai­re Ris­ques opé­ra­ti­on­nels et rési­li­ence (RS 2023/1). Elle en pro­fi­te pour appor­ter des pré­cis­i­ons à la com­mu­ni­ca­ti­on pru­den­ti­el­le 05/2020, qui doit donc être lue à l’a­ve­nir en même temps que la pré­sen­te com­mu­ni­ca­ti­on pru­den­ti­el­le 03/24.

Les pré­cis­i­ons portent sur les Obli­ga­ti­on de décla­rer selon l’art. 29 al. 2 LFINMALa FINMA a con­cré­ti­sé ces exi­gen­ces d’u­ne part dans la com­mu­ni­ca­ti­on pru­den­ti­el­le 05/2020 pour tous les éta­blis­se­ments sur­veil­lés et d’aut­re part dans la RS 2023/1 pour les ban­ques et les ent­re­pri­ses d’in­ve­stis­se­ment. Sur le plan for­mel, la com­mu­ni­ca­ti­on pru­den­ti­el­le 03/24 ne fait réfé­rence qu’à l’an­ci­en­ne com­mu­ni­ca­ti­on pru­den­ti­el­le 05/2020 (qui n’a pas été abro­gée par la RS 2023/1), mais sur le fond, ses expli­ca­ti­ons s’ap­pli­quent natu­rel­le­ment aus­si aux obli­ga­ti­ons par­al­lè­les de la RS 2023/1.

La FINMA con­cré­ti­se ses atten­tes en matiè­re de sur­veil­lan­ce de la maniè­re suivante :

Date limi­te pour les notifications

La FINMA con­fir­me ici ce qui est con­nu : dès la décou­ver­te d’u­ne cyberat­taque, l’é­ta­blis­se­ment doit 24 heu­res temps pour une pre­miè­re décla­ra­ti­on à la FINMA. Dans ce délai de 24 heu­res, les éta­blis­se­ments doi­vent envoy­er une Éva­lua­ti­on initia­le sur la cri­ti­ci­té, dans le but d’e­sti­mer si la cyberat­taque néces­si­te une décla­ra­ti­on à la FINMA.

La décla­ra­ti­on “pro­pre­ment dite” doit alors être envoy­ée dans un délai total de 72 heu­res via la pla­te­for­me d’en­quête et de requête (EHP) de la FINMA.

Atten­tes pour la pre­miè­re déclaration

La FINMA pré­cise que ce qui impor­te avant tout lors de la pre­miè­re décla­ra­ti­on, c’est le respect des délais. Il n’y a pas d’at­ten­tes par­ti­cu­liè­res en ce qui con­cer­ne la for­me et le con­te­nu, et les décla­ra­ti­ons initia­les peu­vent éga­le­ment être révoquées :

  • Le site Pre­miè­re annon­ce peut se fai­re de maniè­re infor­mel­le, il suf­fit de le signal­er par e‑mail, télé­pho­ne, etc. Il s’a­git alors, sur la base de l’éva­lua­ti­on initia­le, d’éva­luer le situa­ti­on alors con­nue de l’é­vé­ne­ment. Il n’est pas néces­saire d’en dire plus à ce sta­de. Il s’a­git ici pour la FINMA de réa­gir rapi­de­ment ; le con­te­nu de la pre­miè­re annon­ce est secondaire.
  • Il se peut bien sûr que les inve­sti­ga­ti­ons com­plé­men­tai­res révè­lent que la pre­miè­re décla­ra­ti­on n’au­rait pas été obli­ga­toire. C’est pour­quoi les éta­blis­se­ments peu­vent à tout moment réi­té­rer leur pre­miè­re décla­ra­ti­on. se reti­rer.

Lorsqu’un éta­blis­se­ment est éga­le­ment sou­mis à l’ob­li­ga­ti­on de décla­rer en ver­tu de la LSI, la décla­ra­ti­on initia­le peut éga­le­ment être sou­mi­se via le for­mu­lai­re de décla­ra­ti­on du BACS si l’op­ti­on de trans­mis­si­on de la décla­ra­ti­on à la FINMA est sélec­tion­née (sur la base de l’art. 73d E‑ISG). L’é­ta­blis­se­ment doit tou­te­fois veil­ler à ce que le délai pui­s­se être respec­té à cet égard. Le délai ent­re l’an­non­ce au BACS et la trans­mis­si­on à la FINMA relè­ve donc de la responsa­bi­li­té de l’é­ta­blis­se­ment. Pour autant que l’on sache, la trans­mis­si­on par le BACS est auto­ma­ti­sée et sans filt­re, donc pro­ba­blem­ent immé­dia­te. La décla­ra­ti­on pro­pre­ment dite doit ensuite con­tin­uer à être envoy­ée via l’EHP.

Atten­tes pour la décla­ra­ti­on pro­pre­ment dite

La com­mu­ni­ca­ti­on pru­den­ti­el­le 05/2020 exi­ge, pour les noti­fi­ca­ti­ons de cyberat­ta­ques d’u­ne gra­vi­té “moy­enne” ou supé­ri­eu­re, un rap­port final sur les cau­ses, com­prenant au moins le rap­port d’en­quête inter­ne ou exter­ne ou le rap­port méd­ico-légal (d’aut­res exi­gen­ces figu­rent dans la Com­mu­ni­qué de sur­veil­lan­ce 05/2020). Com­me le pré­cise désor­mais la FINMA, le rap­port sur les cau­ses dev­rait com­prend­re les points sui­vants en cas de degré de gra­vi­té “éle­vé” ou “gra­ve” :

  • Rai­son du suc­cès de la cyber-attaque ;
  • l’im­pact de l’at­taque sur le respect des exi­gen­ces pru­den­ti­el­les, le fonc­tion­ne­ment de l’é­ta­blis­se­ment et les clients ;
  • des mesu­res d’at­té­nua­ti­on mises en place pour fai­re face aux con­sé­quen­ces de l’attaque.

Pour les cyberat­ta­ques d’un niveau de gra­vi­té “gra­ve”, il faut en out­re four­nir des preu­ves et des ana­ly­ses sur le fonc­tion­ne­ment de l’or­ga­ni­sa­ti­on de crise.

Début et cal­cul du délai

La FINMA con­fir­me ici avant tout sa pra­tique, con­nue depuis un cer­tain temps, selon laquel­le les délais de décla­ra­ti­on com­men­cent à cour­ir en cas d’ex­ter­na­li­sa­ti­on, si le four­nis­seur d’ac­cès prend con­nais­sance de la cyberat­taque. Une exter­na­li­sa­ti­on se fait sous la responsa­bi­li­té des éta­blis­se­ments. C’est ce que con­clut la FINMA,

que le délai de noti­fi­ca­ti­on com­mence à cour­irDès que l’é­ta­blis­se­ment ou, dans le cas de fonc­tions exter­na­li­sées le four­nis­seur tiersun cyberin­ci­dent a décou­vert. Cela garan­tit éga­le­ment l’é­ga­li­té de trai­te­ment pru­den­tiel des éta­blis­se­ments qui n’ont pas exter­na­li­sé de fonctions.

Cela s’ap­pli­que en tout cas aux pre­sta­tai­res de fonc­tions essen­ti­el­les. Si un pre­sta­tai­re de ser­vices n’est pas un par­ten­aire essen­tiel en matiè­re d’ex­ter­na­li­sa­ti­on, l’é­ta­blis­se­ment doit s’assurer qu’il est infor­mé des cyberincidents.

Lors du cal­cul des délais pour la pre­miè­re décla­ra­ti­on et la décla­ra­ti­on sui­van­te seuls les jours ouvra­bles ban­cai­res offi­ci­els compt­ent. Une excep­ti­on s’ap­pli­que aux atta­ques pré­sen­tant un degré de gra­vi­té “gra­ve”. Dans ce cas, le délai pour la pre­miè­re décla­ra­ti­on court éga­le­ment en dehors des jours ouvra­bles ban­cai­res. Il faut sans dou­te lire la FINMA dans le sens où cela ne s’ap­pli­que pas au délai pour la décla­ra­ti­on suivante.

Cyber-exer­ci­ces basés sur des scénarios

La FINMA cla­ri­fie cer­ta­ins points con­cer­nant les exer­ci­ces cyber­né­ti­ques des ban­ques et des ent­re­pri­ses d’in­ve­stis­se­ment basés sur des scé­na­ri­os. L’é­ten­due et le con­te­nu de ces exer­ci­ces sont régis par le prin­ci­pe de pro­por­ti­on­na­li­té géné­ra­le­ment appli­ca­ble dans la RS 23/1. Les éta­blis­se­ments d’im­portance sys­té­mi­que doi­vent éga­le­ment effec­tuer des exer­ci­ces d’é­qui­pe rouge, et les aut­res éta­blis­se­ments au moins un exer­ci­ce annu­el de type table-top. Les éta­blis­se­ments plus petits (caté­go­ries de sur­veil­lan­ce 4 et 5) peu­vent éga­le­ment par­ti­ci­per aux exer­ci­ces du Swiss Finan­cial Sec­tor Cyber Secu­ri­ty Cent­re (Swiss FS-CSC), tant que le poten­tiel de men­ace spé­ci­fi­que à l’é­ta­blis­se­ment peut être déter­mi­né à l’ai­de de l’e­xer­ci­ce cor­re­spond­ant du Swiss FS-CSC.

La FINMA se réser­ve en out­re le droit

de fai­re réa­li­ser de tels exer­ci­ces cyber basés sur des scé­na­ri­os de ris­ques de maniè­re sélec­ti­ve dans le cad­re de l’au­dit pru­den­tiel ou d’un audit com­plé­men­tai­re et de les accom­pa­gner étroitement.