Le 10 novembre 2022, la FINMA a publié son Risk Monitor 2022. Il donne un aperçu des principaux risques les plus importants auxquels les établissements surveillés sont confrontés aujourd’hui. L’un des principaux risques, parmi le risque de taux d’intérêt, le risque de crédit, le risque de marché, la lutte contre le blanchiment d’argent et l’accès au marché européen, sont les cyber-risques.
Découvrez dans cet article les 4 principaux contrôles internes liés aux cyber-risques que vous devez mettre en place en tant que gestionnaire de fortune, que vous opériez sous la supervision directe de la FINMA ou que vous soyez soumis à la supervision d’une organisation de surveillance (OS).
Contrôle 1 : Auto-évaluation des risques informatiques
Au moins une fois par an, veillez à ce que vos responsables informatiques procèdent à une auto-évaluation des risques informatiques. Idéalement, cette évaluation est requise par votre politique de sécurité informatique. L’évaluation doit être effectuée à l’aide d’un questionnaire standardisé afin de suivre les changements (améliorations) au fil du temps. Une fois l’évaluation terminée, assurez-vous que les résultats sont discutés avec la direction, que des plans d’action sont élaborés et mis en œuvre en temps voulu.
Sachez que cela s’applique également si vous avez externalisé totalement ou partiellement votre informatique. Veillez à examiner périodiquement la configuration de la sécurité informatique de vos partenaires externes : leurs problèmes de sécurité peuvent très vite devenir les vôtres. La meilleure façon de réaliser de cette tâche est de mettre en place un contrôle distinct couvrant les risques liés à l’externalisation (recrutement, instruction/examen/surveillance, retrait des partenaires d’externalisation).
Contrôle 2 : Test de reprise après sinistre
Au moins une fois par an, assurez-vous que vous effectuez réellement au moins un test de reprise après sinistre correctement conçu et soigneusement planifié avec un protocole clairement défini, des résultats et des mesures prises. Les plans de reprise après sinistre sont beaux sur le papier, mais c’est à l’usage que l’on peut juger de leur efficacité.
Contrôle 3 : Révision de la politique de sécurité informatique
Au moins une fois par an, vous devez revoir votre politique de sécurité informatique et éventuellement prendre en compte les résultats de votre auto-évaluation des risques informatiques et de votre test de reprise après sinistre. Pour toutes vos politiques, fixez une date d’expiration. Cela vous oblige à les revoir et à les approuver à nouveau.
Contrôle 4 : Sensibilisation et formation aux cyber-risques
Au moins tous les six mois, veillez à ce que l’ensemble de votre personnel suive une session de sensibilisation/formation à la sécurité informatique. En général, le maillon le plus faible de votre dispositif de sécurité informatique est l’homme. Expliquez à votre équipe votre politique de sécurité informatique, donnez des détails sur les incidents passés, dites-leur comment signaler les incidents, comment agir en cas de doute. Au lieu de faire appel au département des ressources humaines, désignez un expert pour mener à bien ces sessions.
Assurez-vous également que tous vos employés, et en particulier vos cadres, sont pleinement conscients de la « FINMA Guidance du 05/2020 » (obligation de signaler les cyber-attaques conformément à l’article 29, paragraphe 2).
Si vous avez externalisé vos services informatiques ou autres, assurez-vous que vos partenaires d’externalisation connaissent cette directive de la FINMA et en comprennent pleinement les implications. Il est de votre devoir de les instruire correctement.
Ces quatre contrôles sont une excellente base pour couvrir les Cyber-Risques. Dans un second temps, il serait intéressant de mettre en place des contrôles plus élaborés, peut-être plus techniques et orientés vers les processus.
