Dans près de la moitié de toutes les cyberattaques signalées par les établissements surveillés par la FINMA en 2025, le point d'entrée visé n'était pas l'établissement lui-même – c'était un prestataire de services ou un partenaire d'externalisation. Ce constat, présenté lors de la conférence médias annuelle de la FINMA en avril 2026 et publié dans le Rapport annuel FINMA 2025, devrait recalibrer la façon dont les entreprises de services financiers à Genève envisagent leurs investissements en cybersécurité. Le périmètre a changé. Protéger sa propre infrastructure, tout en laissant les relations fournisseurs non examinées, n'est plus une posture défendable.
Les données sont exposées dans le Rapport annuel FINMA 2025, publié en avril 2026. Le rapport s'appuie sur les rapports d'incidents obligatoires soumis par les établissements surveillés. Il s'agit de l'image la plus fiable disponible du paysage des cybermenaces affectant spécifiquement le secteur financier réglementé suisse.
Comment la FINMA collecte ces données
La FINMA exige des établissements surveillés qu'ils signalent les cyberattaques ayant un impact matériel sur leurs opérations, leurs données ou leurs actifs clients. Ces rapports sont confidentiels et agrégés par la FINMA pour l'analyse prudentielle. Le chiffre de « près de la moitié » pour les cibles de la chaîne d'approvisionnement découle de l'analyse de ces soumissions obligatoires sur l'année de rapport 2025.
Ces données se distinguent de celles de l'OFCS/NCSC, qui couvrent une population plus large. Les données de la FINMA ne couvrent que les entités du secteur financier réglementé, ce qui en fait un signal plus spécifique pour les entreprises opérant dans cet espace.
Ce que le constat sur la chaîne d'approvisionnement signifie structurellement
Une entreprise peut investir massivement dans sa propre architecture de sécurité – détection des points de terminaison, contrôles d'accès, formation du personnel, pare-feu de nouvelle génération – et être quand même compromise par un fournisseur opérant avec des normes plus faibles. La surface d'attaque s'étend à chaque tiers ayant accès à vos systèmes, données ou réseau.
Pour les entreprises qui externalisent leur infrastructure informatique, des services gérés ou l'hébergement cloud, la posture de sécurité du prestataire est une variable de risque de première ligne, et la FINMA la traite comme telle.
Le cadre réglementaire
L'approche de la FINMA en matière de risque d'externalisation est énoncée dans la Circulaire FINMA 2023/1 – Risques opérationnels et résilience (banques). Elle exige des établissements surveillés qu'ils évaluent, surveillent et documentent le risque présenté par les relations avec des tiers de manière continue. Les dispositions contractuelles sont nécessaires mais insuffisantes. La circulaire exige une surveillance active, pas seulement une documentation au moment de la conclusion du contrat.
Le constat du rapport annuel ajoute un poids empirique à une attente déjà en vigueur. Les établissements qui ont traité le risque tiers comme un exercice de documentation plutôt que comme un programme actif font face à la preuve que le risque est réel et qu'il se matérialise.
Comment évaluer votre prestataire informatique
Les distinctions pertinentes entre prestataires incluent : l'endroit où les données sont hébergées et sous quelle juridiction légale, les certifications de sécurité détenues, comment les incidents sont journalisés et signalés, et les contrôles que le prestataire applique à sa propre chaîne d'approvisionnement. Pour les entreprises à Genève sous surveillance FINMA, la documentation de la décision de sélection du prestataire – la diligence raisonnable, l'évaluation des risques, la surveillance continue – est ce que la FINMA examinera si un incident de chaîne d'approvisionnement se produit.
Questions à poser à votre prestataire informatique
- Où sont hébergées nos données, et sous quelle juridiction légale ?
- Quelles certifications de sécurité détenez-vous (ISO 27001:2022, SOC 2 Type II) ?
- Comment les incidents de sécurité sont-ils journalisés, escaladés et signalés ?
- Quels contrôles appliquez-vous à vos propres sous-traitants et fournisseurs ?
- Quel est votre délai moyen de détection et de réponse à une violation ?
- Comment votre cadre contractuel soutient-il nos obligations d'externalisation FINMA ?
Références
Rapport annuel FINMA 2025 : https://www.finma.ch/en/documentation/finma-publications/annual-reports--and-financial-statements/
Circulaires FINMA : risques opérationnels et résilience : https://www.finma.ch/fr/documentation/circulaires-finma/
Priorités de surveillance FINMA 2025 : https://www.finma.ch/en/documentation/finma-publications/annual-reports--and-financial-statements/supervisory-priorities/
