La FINMA a publié deux nouveaux programmes d’audit actualisés afin de renforcer la surveillance des risques cyber et des risques liés aux données dans les institutions financières suisses.
Le programme d’audit « Gestion des risques cyber » (version du 3 juin 2025) et le programme « Gestion des risques liés aux données critiques » (version du 15 mars 2025) s’appliquent tous deux à partir de la période d’audit 2025.
Ces programmes fixent des attentes formelles quant à la manière dont les banques et les gestionnaires d’actifs sont audités en matière de cybersécurité et de protection des données critiques. Ils reflètent les dernières orientations réglementaires de la FINMA et élargissent les domaines sur lesquels les auditeurs et les conseils d’administration doivent désormais se concentrer.
Nouveaux points focaux dans les audits de gestion des risques cyber
Le programme d’audit mis à jour sur la gestion des risques cyber introduit un ensemble de points de contrôle plus techniques et plus complets.
Il met l’accent sur la gouvernance et l’intégration dans la gestion des risques d’entreprise : les institutions doivent disposer de politiques internes et de stratégies claires en matière de risques cyber, alignées sur la stratégie informatique et la politique de risques globales.
La FINMA a renforcé la responsabilité du conseil d’administration : celui-ci doit évaluer régulièrement la tolérance de l’établissement aux risques cyber, en cohérence avec les objectifs commerciaux.
La direction générale doit maintenir une stratégie approuvée de gestion des risques cyber et fournir régulièrement au conseil des rapports sur l’évolution de ces risques, afin de s’assurer qu’ils soient traités comme une question stratégique.
Le programme met également en lumière la nécessité d’un inventaire exhaustif des actifs et de mesures de protection. Les établissements doivent tenir à jour un inventaire complet de tous les actifs TIC critiques et des interfaces avec des tiers, assorti de contrôles pour en garantir l’exactitude. De nouvelles étapes d’audit visent à vérifier l’efficacité des mesures préventives telles que la prévention de la perte de données (DLP) pour les données sensibles ou critiques, les contrôles robustes de sécurité réseau et infrastructurelle (par ex. segmentation réseau, pare-feu, détection des terminaux) et une approche fondée sur les risques pour la gestion des correctifs.
Une attente renforcée concerne la surveillance et la journalisation continues des événements de sécurité : les auditeurs vérifieront que tous les systèmes et applications critiques alimentent un système centralisé de surveillance des journaux et que les anomalies sont détectées et évaluées rapidement.
Surtout, le programme cyber actualisé renforce la réponse aux incidents et la résilience. La FINMA attend des établissements qu’ils disposent de scénarios de réponse bien définis aux cyberattaques, avec des procédures claires d’escalade et d’atténuation.
Les auditeurs doivent désormais s’assurer que les organisations testent leurs processus de reprise – par exemple au moyen d’exercices réguliers – afin de garantir une restauration rapide des systèmes après un incident cyber. Ces ajouts reflètent les enseignements tirés des dernières directives de la FINMA sur la gestion des incidents cyber et les exercices basés sur des scénarios.
Il est à noter que si les opérations TIC critiques sont externalisées, l’établissement demeure responsable : la FINMA demande aux auditeurs de vérifier la manière dont les entreprises définissent, sécurisent et surveillent les services externalisés pour maintenir les contrôles cyber.
Nouveaux points focaux dans les audits de gestion des risques liés aux données critiques
Le programme d’audit sur la gestion des risques liés aux données critiques est une nouveauté, qui souligne l’accent accru de la FINMA sur la gouvernance et la protection des données. Ce programme formalise la manière dont les « données critiques » – informations dont la confidentialité, l’intégrité ou la disponibilité sont essentielles – doivent être gérées dans le cadre du dispositif de gestion des risques.
L’intégration dans la gestion des risques d’entreprise est un thème clé : la FINMA exige désormais que les risques liés aux données critiques (tels que la perte de données, le vol, la mauvaise qualité des données ou les manipulations non autorisées) soient traités comme une catégorie de risques distincte dans la gestion des risques opérationnels de l’établissement, avec des processus adéquats d’identification, d’évaluation, d’atténuation, de suivi et de reporting. En pratique, cela signifie que les risques liés aux données critiques doivent être traités de manière exhaustive au même titre que les autres risques majeurs, et non pas négligés comme un simple sujet informatique.
Le nouveau programme élève également les attentes en matière de gouvernance des risques liés aux données. Les conseils d’administration doivent approuver explicitement et réévaluer régulièrement (au moins une fois par an) l’appétence aux risques de l’établissement concernant les données critiques.
La direction doit mettre en œuvre une stratégie documentée de gestion des risques liés aux données critiques, incluant une définition institutionnelle de ce qui constitue une « donnée critique », des méthodes d’identification et de classification systématique, ainsi que des mesures garantissant la confidentialité, l’intégrité et la disponibilité de ces données.
Les auditeurs évalueront si les rôles et responsabilités relatifs aux données critiques (par ex. propriétaires de données, responsables de la qualité des données) sont clairement définis et attribués au sein de l’organisation, et si le personnel (y compris les prestataires) bénéficie d’une formation et d’une sensibilisation adéquates.
L’inventaire et le suivi des données critiques sont mis en avant. Les institutions doivent tenir un inventaire détaillé de toutes les données critiques, documentant des attributs tels que l’emplacement de stockage (y compris dans le cloud), les systèmes logiciels concernés, les propriétaires de données, le niveau de criticité et les dépendances avec des tiers. Des contrôles doivent être mis en place pour garantir la fiabilité et l’exhaustivité de cet inventaire. Le programme introduit également des attentes strictes en matière de gestion des accès : l’accès aux données critiques (par les employés ou des tiers) doit suivre le principe du moindre privilège et être géré par des processus robustes d’Identity and Access Management (IAM).
Les auditeurs testeront non seulement la conception mais aussi l’efficacité des principaux contrôles protégeant les données critiques, notamment le chiffrement, le suivi de l’utilisation des données et les mesures de protection pour les comptes à privilèges.
Le programme couvre également la gestion des incidents et les risques liés aux tiers. Les établissements doivent disposer de processus pour gérer et déclarer les incidents affectant de manière significative la confidentialité, l’intégrité ou la disponibilité des données critiques, en conformité avec les obligations de déclaration à la FINMA.
En ce qui concerne les prestataires de services tiers qui peuvent gérer les données critiques d’un établissement, la FINMA attend désormais une surveillance rigoureuse : l’audit examinera le processus de diligence raisonnable lors de leur sélection et vérifiera si les contrats incluent des clauses de protection des données appropriées. De plus, les institutions doivent assurer un suivi continu et des audits périodiques de ces prestataires pour garantir qu’ils respectent les normes exigées. Cette approche globale rend clair que l’externalisation de la gestion des données ne transfère pas la responsabilité : celle-ci reste à la charge de l’établissement réglementé.
Points clés pour les dirigeants (C-Suite)
- Entrée en vigueur en 2025 : Les deux nouveaux programmes d’audit s’appliquent dès l’exercice 2025, ce qui signifie que les audits se baseront désormais sur ces critères renforcés. Les institutions doivent dès à présent se préparer à répondre à ces exigences.
- Rôle central du conseil et de la gouvernance : La FINMA attend une supervision active des risques cyber et des risques liés aux données par le conseil. Celui-ci doit définir et revoir régulièrement l’appétence aux risques, tandis que la direction met en œuvre des stratégies approuvées et rend compte de l’évolution des risques.
- Intégration dans l’ERM : Les risques cyber et liés aux données critiques doivent être intégrés dans la gestion des risques d’entreprise. Les risques de données critiques constituent désormais une catégorie distincte des risques opérationnels, nécessitant identification, évaluation et suivi complets.
- Inventaires des actifs et des données : Les établissements doivent maintenir des inventaires à jour des actifs TIC critiques (matériel, logiciels, interfaces) et des données critiques (emplacement, propriétaires, criticité). Les auditeurs vérifieront l’existence de contrôles garantissant leur fiabilité.
- Contrôles et surveillance renforcés : Attendez-vous à une vérification des contrôles techniques – par ex. prévention de la perte de données, segmentation réseau, anti-malware, gestion des correctifs – et de leur efficacité. La surveillance continue est centrale : tous les systèmes critiques doivent alimenter un dispositif de monitoring centralisé permettant une détection rapide des anomalies.
- Réponse aux incidents et résilience : Les audits vérifieront la robustesse et la mise à jour des plans de réponse aux cyberattaques. Les établissements doivent organiser des exercices réguliers pour tester leurs capacités de réaction et de reprise, et garantir une déclaration rapide des incidents à la FINMA.
- Gestion des risques liés aux tiers : Les deux programmes renforcent la surveillance des prestataires externes. En cas d’externalisation de services critiques ou de gestion de données, l’établissement doit avoir effectué une diligence raisonnable complète et imposé contractuellement des normes de protection. Un suivi continu et des audits périodiques sont attendus pour s’assurer de la conformité des prestataires. La responsabilité finale reste entre les mains de l’établissement.
Prochaines étapes
Les dirigeants doivent examiner leurs cadres de cybersécurité et de gouvernance des données à la lumière de ces nouvelles normes de la FINMA. Des audits internes ou évaluations préliminaires permettront d’identifier les écarts à corriger avant le prochain audit officiel.
Pour un guide pratique sur la mise en conformité avec les attentes de la FINMA en matière de cyber-risques et de gestion des données, consultez : Votre feuille de route vers la conformité FINMA en matière de risques cyber (Your Roadmap to FINMA Cyber Risk Compliance). Ce guide propose des étapes concrètes pour aligner votre organisation sur les nouvelles exigences et garantir une protection robuste des actifs critiques.
