Microsoft 365 sous le regard de la FINMA

Johan Blaix
2 mars 2026
Cybersécurité Sécurité des données

Microsoft 365 sous le regard de la FINMA

Ce que les auditeurs examineront réellement en 2026

Microsoft 365 est devenu une infrastructure standard pour les sociétés de direction de fonds, les gestionnaires de fortune indépendants et les banques privées. Messagerie, gestion documentaire, identité et collaboration sont désormais regroupées dans un environnement cloud unique. Pour de nombreux établissements, il s’agit d’un outil opérationnel. Pour la FINMA, il fait partie intégrante du dispositif de contrôle.

Le Risk Monitor 2025 de la FINMA renforce l’attention portée à la résilience opérationnelle, aux dépendances liées à l’externalisation et à l’intégrité des données. Les programmes d’audit 2025 relatifs aux risques cyber et aux risques liés aux données critiques traduisent ces priorités en procédures de test concrètes. En 2026, Microsoft 365 sera examiné sous cet angle.

La plateforme en tant que telle n’est pas le sujet. Ce sont la gouvernance, la configuration et la supervision qui le sont.

Inventaire et classification des données

Pour les sociétés de direction de fonds et les gestionnaires de fortune indépendants, Microsoft 365 héberge souvent des données d’investisseurs, des rapports de portefeuille, des mandats, des contrats et des documents internes de décision. Conformément aux programmes d’audit de la FINMA, les établissements doivent démontrer une identification et une catégorisation systématiques des données critiques.

Les auditeurs ne demanderont pas si SharePoint est utilisé. Ils demanderont :

  • Quelles données stockées dans Microsoft 365 sont classifiées comme critiques
  • Qui en est le propriétaire
  • Où elles sont stockées géographiquement
  • Quels systèmes et quels tiers y sont interfacés
  • La manière dont les rôles privilégiés sont attribués et revus
  • Le contrôle des comptes techniques et systèmes
  • La conservation et la revue des journaux
  • La documentation des revues d’accès
  • Qu’elles savent où les données de leur tenant sont hébergées
  • Que les accès transfrontaliers sont contrôlés et évalués en termes de risque
  • Que les contrats et processus de due diligence reflètent cette exposition
  • Si les systèmes critiques alimentent un dispositif centralisé de surveillance
  • Comment les activités suspectes sont identifiées
  • Comment les incidents affectant la confidentialité ou l’intégrité des données sont escaladés
  • Si les obligations de notification ont été respectées dans les cas passés
  • Une compréhension des mécanismes de sauvegarde et de rétention
  • Une clarification des responsabilités entre l’établissement et les prestataires
  • Des tests de reprise des données et des accès selon des scénarios définis

Chez les gestionnaires d’actifs de plus petite taille, les lacunes apparaissent souvent à ce niveau. Les fichiers sont organisés selon une logique opérationnelle, non selon leur criticité du point de vue du risque. En 2026, cette distinction sera déterminante.

Identité et accès privilégiés

Microsoft 365 est avant tout une plateforme d’identité. L’accès à la messagerie, aux fichiers et à Teams est gouverné via Azure Active Directory. Les programmes d’audit de la FINMA mettent explicitement l’accent sur le principe du besoin d’en connaître, la séparation des fonctions et la surveillance des comptes à privilèges.

Les auditeurs examineront :

Pour les banques privées et les grands gestionnaires d’actifs, les attentes en matière de revues périodiques formalisées sont plus élevées. Pour les gestionnaires indépendants de plus petite taille, le principe de proportionnalité s’applique, sans modifier l’exigence de fond. Une gestion informelle des accès est difficile à défendre lors de contrôles par échantillonnage.

Externalisation et accès transfrontaliers

Microsoft 365 est un service cloud dont la localisation des données et le modèle d’accès doivent être clairement compris et gouvernés. Même lorsque les données sont hébergées en Suisse, les établissements doivent évaluer les accès transfrontaliers, les dispositifs de support et les risques liés à l’externalisation conformément aux attentes de la FINMA. Le programme d’audit 2025 accorde une attention explicite aux données stockées à l’étranger ou accessibles depuis l’étranger.

Les sociétés de direction de fonds et les banques privées doivent démontrer :

Le programme d’audit relatif aux risques cyber pour les sociétés de direction de fonds et les gestionnaires de fortune collective renforce la surveillance des environnements ICT externalisés.

Il ne s’agit pas d’interdire le cloud. Il s’agit de démontrer la maîtrise des risques.

Journalisation, surveillance et gestion des incidents

Microsoft 365 génère des journaux d’audit étendus. Le programme d’audit cyber de la FINMA impose de tester les capacités de journalisation et de détection, ainsi que de vérifier le bon fonctionnement des processus de notification.

En 2026, les auditeurs examineront notamment :

Pour les gestionnaires de petite taille sans équipe interne de sécurité, le recours à des prestataires externes doit être clairement documenté et supervisé.

Reprise et résilience

La résilience opérationnelle s’applique également aux environnements cloud. La FINMA attend que les processus de reprise soient définis et testés.

Pour Microsoft 365, cela implique :

Les banques privées dotées d’environnements complexes feront l’objet d’un examen plus approfondi. Les gestionnaires indépendants devront démontrer une compréhension claire des responsabilités.

Différences selon le type d’institution

Banques privées

Des exigences accrues en matière de documentation formalisée de la gouvernance, de supervision structurée par le conseil et d’intégration dans les cadres globaux de tolérance au risque. La configuration de Microsoft 365 doit s’aligner sur la gestion des risques opérationnels à l’échelle de l’établissement.

Sociétés de direction de fonds

Supervisées sous la LEFin et la LPCC et évaluées dans le cadre du programme d’audit de la FINMA « Cyber risk management for fund management companies and managers of collective assets » (Version 3 juin 2025). L’attention portera en particulier sur la surveillance de l’externalisation, la protection des données et l’inventaire des actifs ICT.

Gestionnaires de fortune indépendants

La taille plus réduite ne dispense pas d’obligations. Les superviseurs rechercheront la clarté : propriété définie des données, contrôle des accès et supervision documentée des environnements cloud.

Orientation prudentielle

Microsoft 365 n’est plus perçu uniquement comme un outil de productivité dans le dialogue prudentiel. Il est désormais considéré comme une infrastructure réglementée.

En 2026, les auditeurs se concentreront sur l’alignement entre gouvernance, contrôle des accès, classification des données et gestion des incidents avec les attentes de la FINMA en matière de risques opérationnels, plutôt que sur la simple version ou licence utilisée.

La question ne sera pas de savoir si Microsoft 365 est déployé. Elle sera de déterminer s’il est correctement gouverné.

Johan

Johan Blaix

Johan Blaix, Senior Account Manager, Penta

 Johan Blaix est un stratège en cybersécurité spécialisé dans les menaces émergentes, le risque numérique et l’avenir des infrastructures sécurisées. Fort d’une expérience en opérations de sécurité et de plusieurs années de conseil auprès d’organisations financières, Johan contribue à combler le fossé entre la recherche technique complexe et la réalité stratégique des entreprises. Ses travaux explorent la manière dont les attaquants s’adaptent, comment les défenseurs peuvent garder une longueur d’avance, et pourquoi la résilience compte autant que la prévention. 

Connect with Johan

Thèmes

Découvrez d’autres articles