Le facteur humain en cybersécurité en 2026

Le Risk Monitor 2025 de la FINMA place le risque cyber, la résilience opérationnelle et l’intégrité des données parmi les priorités de surveillance pour l’année à venir. Si une grande partie de l’analyse porte sur les systèmes et l’externalisation, un thème sous-jacent traverse le document et les programmes d’audit associés : le risque s’amplifie lorsque le comportement humain ne correspond pas à la conception des contrôles.

En 2026, les établissements doivent s’attendre à ce que la FINMA et les sociétés d’audit évaluent le risque humain sur la base d’éléments observables, et non sur la base de listes de présence.

De la formation à la responsabilité

La Circulaire FINMA 2023/1 intègre le risque opérationnel et la résilience dans le cadre de la gouvernance, en exigeant des responsabilités définies et des dispositifs de contrôle efficaces. Le programme d’audit relatif aux risques cyber pour les sociétés de direction de fonds et les gestionnaires de fortune collective traduit ces principes en exigences testables concernant la gestion des accès, le traitement des incidents et l’efficacité des contrôles.

La question prudentielle a évolué. Il ne suffit plus de démontrer que le personnel a suivi une formation annuelle de sensibilisation. Les auditeurs examineront si les comportements sont alignés avec la classification des risques, les droits d’accès et les procédures d’escalade.

L’accent mis par le Risk Monitor sur l’intégrité des données et l’interconnexion des systèmes renforce cette évolution. Une seule erreur d’appréciation peut se propager rapidement dans des processus automatisés et des environnements externalisés. Le risque humain est donc traité comme une composante de la résilience opérationnelle, et non comme un simple contrôle comportemental accessoire.

Ce que signifie la preuve en pratique

La preuve d’une gestion efficace du risque humain se décline généralement en trois dimensions.

1. Alignement entre rôles et accès. Les programmes d’audit imposent le test du principe du besoin d’en connaître, de la séparation des fonctions et des contrôles relatifs aux accès privilégiés. Cela permet d’évaluer si l’établissement identifie correctement les personnes exposées à un risque accru.
2. Revue documentée et suivi. En cas d’anomalie d’accès ou de violation de politique, l’établissement doit démontrer qu’une réponse et une remédiation ont été mises en œuvre. Les contrôles par échantillonnage signifient que des incidents isolés peuvent être examinés en détail.
3. Discipline d’escalade. Les communications de la FINMA relatives à la notification des incidents, reprises dans le programme d’audit cyber, supposent que le personnel identifie et escalade rapidement les incidents. Les preuves doivent montrer que les circuits de signalement fonctionnent effectivement.

Différences selon le type d’institution

La profondeur du contrôle prudentiel varie selon la taille et la complexité, mais l’exigence d’efficacité reste constante.

Grandes banques et banques privées

La FINMA examinera la solidité des structures formelles de gouvernance. Les conseils d’administration doivent superviser les risques opérationnels et ICT, y compris l’exposition comportementale. Les éléments probants peuvent inclure des revues d’accès structurées, des évaluations par l’audit interne et la documentation des mesures correctives.

Banques de plus petite taille

Le principe de proportionnalité s’applique, sans réduire l’exigence de responsabilité. La FINMA recherchera une définition claire des rôles, des revues d’accès documentées et des circuits d’escalade bien établis. Une connaissance informelle au sein d’une petite équipe est difficile à démontrer dans le cadre d’un audit par échantillonnage.

Sociétés de direction de fonds et gestionnaires de fortune indépendants

Supervisés sous la LEFin et évalués dans le cadre du programme d’audit cyber dédié, ces établissements s’appuient souvent fortement sur des prestataires IT externes. L’attention prudentielle portera sur la supervision des fonctions de sécurité externalisées et sur la compréhension, par la direction, du risque comportemental résiduel.

Pour les gestionnaires de petite taille, le risque humain se concentre fréquemment sur un nombre limité de personnes disposant d’un accès étendu. Cette concentration constitue en elle-même un facteur d’attention prudentielle.

Au-delà de la sensibilisation

Les programmes de sensibilisation conservent leur utilité. Ils constituent toutefois un socle minimal, non une protection suffisante. L’orientation prudentielle de la FINMA, telle qu’exprimée dans le Risk Monitor et les programmes d’audit 2025, met l’accent sur l’efficacité opérationnelle, la traçabilité documentaire et la responsabilité des organes de gouvernance.

En 2026, les auditeurs sont susceptibles de poser les questions suivantes :

• Comment identifiez-vous les rôles présentant un risque comportemental élevé ?
• Comment les utilisateurs à privilèges sont-ils surveillés et revus ?
• Comment vous assurez-vous que les incidents sont correctement escaladés ?
• Quels éléments démontrent une amélioration dans le temps ?

La nuance est discrète, mais décisive. Le risque humain n’est plus traité comme un simple sujet de formation. Il est considéré comme une composante mesurable de la gestion des risques opérationnels.

Les établissements qui alignent comportement, accès et gouvernance trouveront les audits structurés et prévisibles. Ceux qui s’appuient uniquement sur des listes de présence constateront que la sensibilisation seule ne répond plus aux attentes prudentielles.