La FINMA publie chaque année un moniteur de risques qui donne un aperçu des risques qu’elle considère actuellement comme particulièrement importants pour les assujettis et de l’orientation de son activité de surveillance. Ce faisant, elle ne se contente pas de désigner les principaux risques (qui se limitent bien entendu au domaine de la technologie ou des données), mais formule également des attentes en matière de surveillance. Elle a publie aujourd’hui l’Observatoire des risques 2025.
Risques d’externalisation
Le site Risques d’externalisation La FINMA considère que le niveau de risque est identique à celui de l’année précédente (donc élevé).
Les facteurs de risque sont principalement
- concentration croissante sur un petit nombre de prestataires de services, en particulier pour les services en nuage ;
- Identification et évaluation des risques tout au long de la chaîne d’approvisionnement (même si une externalisation n’est pas considérée comme importante)
- les incertitudes géopolitiques
Focus sur la surveillanceLa FINMA surveille le risque d’externalisation notamment par des contrôles spécifiques sur place – auprès des assujettis et de leurs prestataires – et par l’analyse systématique des données de surveillance et d’audit. Elle dresse l’inventaire des externalisations importantes afin d’identifier les concentrations sur quelques prestataires de services. L’accent est mis sur les externalisations de fonctions critiques, qui sont centrales pour la résilience opérationnelle.
La FINMA est particulièrement préoccupée par la concentration des risques chez un petit nombre de prestataires :
La concentration croissante sur un petit nombre de prestataires de services, en particulier dans le domaine de l’infrastructure TIC et des services en nuage, constitue également un risque majeur. De nombreux établissements font appel aux mêmes fournisseurs, ce qui peut entraîner une dépendance systémique.
Cyber-risques
En revanche, les Cyber-risques.
Les facteurs de risque sont principalement
- Concentration sur quelques prestataires de services
- Attaques contre les chaînes d’approvisionnement
- Attaques DDoS
- Échange d’e-mails
- Menaces internes
- Envoi erroné d’informations sensibles
- Gestion des vulnérabilités
- Gestion de la configuration
- Système d’annonce
Focus sur la surveillanceLa FINMA surveille les cyberrisques par des contrôles ciblés sur place et des opérations d’audit supplémentaires auprès des banques des catégories de surveillance 1 et 2. Pour les établissements des catégories 3 à 5, elle utilise un programme d’audit standard pour la gestion des cyberrisques et évalue la maturité des dispositifs de cyberprotection des établissements au moyen de questionnaires. Pour les directions de fonds et les gestionnaires de fortune collective, elle a en outre publié des points de contrôle sur la gestion des cyberrisques.
Risques liés aux TIC
De même, les Risques liés aux TIC.
Les facteurs de risque sont principalement
- complexité croissante due à l’évolution des exigences, aux progrès techniques rapides, à la multiplication des intégrations avec d’autres systèmes
- Dépendance aux systèmes informatiques
- des composants logiciels défectueux
- un entretien inadéquat ou une erreur humaine
- qualité insuffisante des données provenant de sources externes (par exemple, “formatage non conforme”)
- mises à jour automatiques
- Mauvaise configuration de la gestion des autorisations
- Systèmes d’héritage et de fin de vie
Focus sur la surveillance: La FINMA surveille le risque lié aux TIC au moyen de contrôles spécifiques sur place et de l’analyse des données de surveillance et d’audit.