Ce qui change, ce que cela implique et pour qui
Le Risk Monitor de la FINMA de novembre 2025 place la résilience opérationnelle, l’intégrité des données et l’exposition cyber parmi les priorités de surveillance pour l’année à venir. Le ton est plus direct que les années précédentes. Les données ne sont plus considérées uniquement comme une dépendance opérationnelle. Elles sont traitées comme un facteur de concentration du risque, d’exposition réputationnelle et d’escalade prudentielle.
Les principes ne sont pas nouveaux. L’intensité de leur application, oui.
Ce qui évolue à la suite du Risk Monitor 2025
Le Risk Monitor 2025 met en avant trois évolutions pertinentes pour la gestion des risques liés aux données critiques.
- Une attention accrue aux interdépendances entre systèmes et aux risques liés à l’externalisation. Des lacunes dans la gouvernance des données peuvent amplifier des chocs opérationnels plus larges.
- Un accent renforcé sur l’intégrité des données dans des processus de plus en plus automatisés. Les erreurs ne sont plus perçues uniquement comme des défaillances de processus. Elles deviennent des défaillances de gouvernance lorsque les contrôles sur les données sont insuffisants.
- Une responsabilisation accrue des organes de direction en matière de risques opérationnels et ICT. Le dialogue prudentiel remonte au niveau du conseil.
Ces thèmes s’inscrivent dans le cadre de la Circulaire FINMA 2023/1 et sont opérationnalisés par le programme d’audit 2025 « Critical data risk management ». En 2026, ces procédures seront appliquées de manière plus systématique.
Le changement réside dans l’intensité du contrôle et dans l’exigence de preuves.
Ce que cela signifie pour 2026
Le programme d’audit définit des procédures détaillées en matière de gouvernance, d’inventaire, de gestion des accès, d’accès transfrontaliers et de gestion des incidents. La direction pour 2026 est claire.
La surveillance portera sur l’efficacité opérationnelle démontrée par une documentation traçable. Les contrôles par échantillonnage sont explicitement intégrés dans le cadre d’audit. Les auditeurs sélectionneront des éléments de données, des comptes à privilèges et des incidents pour en vérifier la conformité.
La supervision du conseil d’administration fera également l’objet d’une attention accrue. L’approbation de la tolérance au risque et de la stratégie relative aux données devra être documentée et régulièrement revue.
Concrètement, les établissements devront démontrer :
- Une identification claire des données critiques et de leur propriétaire
- Un inventaire complet et exact
- Une gestion et une revue des accès privilégiés
- Une maîtrise des risques liés au stockage ou à l’accès depuis l’étranger
- Des processus testés d’identification et de notification des incidents
Distinction selon les types d’institutions
L’intensité prudentielle varie selon la catégorie, même si les attentes de fond restent cohérentes.
Grandes banques et établissements d’importance systémique
Pour les grandes banques, en particulier celles relevant de catégories de surveillance élevées, les exigences de formalisation sont plus étendues. Les cadres de tolérance au risque doivent être intégrés à la gestion globale des risques. Les inventaires doivent couvrir des environnements systèmes complexes et des chaînes d’externalisation multiples. Les risques de concentration et d’accès transfrontaliers feront l’objet d’un examen approfondi.
Les contrôles par échantillonnage seront plus étendus et l’articulation avec l’audit interne examinée attentivement.
Banques de plus petite taille
Les banques de plus petite taille restent soumises à la Circulaire 2023/1 et au programme d’audit correspondant. Le principe de proportionnalité porte sur la profondeur de mise en œuvre, non sur les principes eux-mêmes.
La FINMA attend de ces établissements cohérence et clarté. Les inventaires doivent être fiables. Les contrôles d’accès doivent être démontrables. La supervision du conseil doit être visible. La simplicité est acceptable lorsqu’elle reflète le modèle d’affaires. L’informalité ne l’est pas.
Les faiblesses apparaissent souvent lorsque la dépendance à des prestataires IT externes n’est pas accompagnée d’une compréhension interne suffisante des risques liés aux données.
Sociétés de direction de fonds et gestionnaires de fortune collective
Ces institutions sont supervisées sous la LEFin et la LPCC et évaluées via un programme d’audit cyber dédié. La Circulaire 2023/1 ne leur est pas formellement applicable, mais les attentes prudentielles en matière de gouvernance des données et de résilience sont alignées dans la pratique.
Pour les gestionnaires de plus petite taille, l’attention en 2026 portera notamment sur :
- L’inventaire des actifs ICT et sa vérification
- La protection des données sensibles de portefeuille et d’investisseurs
- La supervision des prestataires externalisés et des fournisseurs cloud
- Les procédures de notification et de reprise après incident
La complexité est généralement moindre que dans les grandes banques. La concentration de l’externalisation est souvent plus élevée. La FINMA examinera la manière dont la direction comprend et maîtrise cet équilibre.
Orientation prudentielle
Le Risk Monitor de novembre 2025 confirme une orientation centrée sur l’intégrité des données, la résilience et la responsabilité des organes dirigeants. Les programmes d’audit 2025 précisent la manière dont cette orientation se traduit en procédures de contrôle.
En 2026, la différence ne résidera pas dans l’existence de politiques, mais dans la capacité des établissements à démontrer que les risques liés aux données critiques sont identifiés, attribués et maîtrisés en fonction de leur taille, de leur structure et de leur catégorie prudentielle.
Le cadre est posé. L’année à venir en testera l’application.
