Cyber-risques (2024)

Le secteur financier suisse continue d'être une cible régulière de cyberattaques. Le nombre d'annonces reçues par la SFMA concernant des attaques réussies ou partiellement réussies a augmenté de 30% par rapport à l'année précédente. Les cyberrisques restent parmi les principaux risques pour les établissements surveillés par la SFMA et se situent à un niveau constamment élevé. Dans le guide SFMA 03/2024, la SFMA a mis en évidence les principales conclusions de sa surveillance des cyber-risques.

La place financière suisse reste un foyer de cybercriminalité internationale, y compris pour des groupes internationaux de ransomware bien connus tels que PLAY, AKIRA et Lockbit 3.0. Dans le même temps, en surveillant de plus en plus les petits acteurs du marché tels que les gestionnaires de fortune indépendants et les intermédiaires d’assurance indépendants, la SFMA a enregistré un nombre croissant de cyberattaques contre ces entités. Les établissements surveillés de toutes les catégories de surveillance signalent de plus en plus de cyberincidents liés à la compromission de la messagerie électronique professionnelle (BEC; voir Business E-Mail Compromise) et à des formes de cyberfraude telles que la fraude au PDG (forme d'usurpation d'identité pour contourner l'authentification multifactorielle, où une carte SIM numérique est créée ou volée). Dans certains cas, les incidents ont impliqué des sommes importantes pour les institutions concernées et leurs clients. Des attaques par échange de carte SIM5 ont également été signalées à la SFMA.

Le trafic de courrier électronique reste le vecteur d'infection le plus courant pour les petites institutions lors d'un cyberincident. L’analyse des causes profondes a montré que ces entreprises supervisées disposaient de dispositifs de cyberprotection limités ou moins sophistiqués. Cela reflétait à la fois un manque de défenses techniques et un besoin urgent de sensibilisation. Des processus inadéquats pour identifier et réparer les faiblesses logicielles au sein de l’infrastructure technologique et des lacunes dans la gestion de la configuration constituaient d’autres points d’entrée pour les attaquants. Par exemple, ils ont pu contourner l'authentification multifacteur en raison d'erreurs de configuration ou les institutions concernées n'utilisaient pas l'authentification à deux facteurs de manière généralisée.

Dans de nombreux cas, les institutions n'ont pas remarqué les cyberattaques pendant une période prolongée. Les attaques ont été menées contre des infrastructures technologiques obsolètes qui n’étaient plus entretenues et mises à jour, ou bien des prestataires de services externes n’ont pas informé les institutions dans les meilleurs délais. Cela indique tout d’abord qu’il existe de graves lacunes dans la gestion du cycle de vie de l’infrastructure informatique. Deuxièmement, elle met en lumière les faiblesses des politiques de cybersécurité en lien avec les prestataires de services. Les capacités d’identification et de réaction des institutions restent des facteurs clés pour gérer avec succès les cyberattaques. Cela est souligné par le fait qu'un quart des incidents signalés concernent des infections par des logiciels malveillants. Au cours de l'année écoulée, de nombreuses vagues d'attaques par déni de service distribué (DDoS) ( attaques contre la disponibilité de l'infrastructure technologique ) ont de nouveau eu lieu, qui ont conduit à des restrictions de services pour les acteurs des marchés financiers suisses et leurs clients pendant des périodes limitées. Les attaques étaient pour la plupart motivées par des raisons financières et accompagnées de lettres de chantage. Des infrastructures critiques en Suisse ont également été touchées par des attaques DDoS à motivation idéologique.

Les attaques contre la chaîne d'approvisionnement et les cyberincidents liés aux services et fonctions externalisés restent d'actualité et continuent de représenter près d'un tiers de tous les cyberincidents signalés. On peut raisonnablement supposer que les cyberattaques contre les chaînes d’approvisionnement en technologies informatiques et de communication continueront à se multiplier. En conséquence, les établissements surveillés doivent prendre des mesures techniques et organisationnelles pour protéger leurs principaux processus commerciaux et leurs données critiques.

Documents

Graphiques et informations visuelles