Augmentation des cyberattaques : mise en place de contrôles sur site et d'analyses de scénarios

En 2022, les cyberattaques réussies contre des entreprises de tous les secteurs ont de nouveau fait la une des journaux, tant en Suisse que dans le monde entier. La SFMA a également constaté un nombre croissant de cyberattaques signalées contre des établissements assujettis.

Depuis l'entrée en vigueur des clarifications sur l'obligation de déclarer les cyberattaques en septembre 2020 (voir également l'orientation 05/2020 ), 160 déclarations de cyberattaques d'importance substantielle ont été reçues à la fin de l'année 2022. Sur les 63 déclarations reçues en 2022, 48 concernaient des banques. Plus de la moitié des cyberattaques étaient dirigées contre de petites institutions. Environ un quart des attaques ont visé des établissements appartenant aux catégories de surveillance 3 et 4, et une seule cyberattaque a touché un établissement de plus grande taille (voir également le chiffre ci-dessous « Cyberattaques signalées à la SFMA en 2022 »). Des informations détaillées sur les rapports reçus peuvent être trouvées dans le Risk Monitor 2022. Ainsi, dans son Risk Monitor publié chaque année, la SFMA a continué à classer les cyber-risques parmi les sept principaux risques auxquels la place financière est confrontée en 2022. Dans le suivi de ce risque, la SFMA s'est concentrée sur deux aspects. Premièrement, il a observé et évalué en permanence la situation des menaces et analysé les cyber-rapports; d'autre part, elle a procédé à des contrôles spécifiques sur site auprès des entreprises surveillées et réalisé des analyses de scénarios.

Alors que l'année 2021 a vu une augmentation du nombre d'activités DDoS (déni de service distribué), l'année 2022 a été marquée surtout par des attaques de malwares menaçant l'intégrité des composants informatiques essentiels. Les cyber-reportages ont également montré que l'objectif principal des attaques était toujours d'obtenir un accès non autorisé à l'infrastructure des entreprises surveillées. Les attaques ont eu lieu le plus souvent via un prestataire externe dans le cas de services externalisés, suivies par les attaques basées sur le Web. Au cours de l'année sous revue, l'accent a été mis sur les établissements des catégories de surveillance 4 et 5, qui représentent une grande partie des attaques signalées contre les banques (66%). Il a été noté que ces institutions étaient particulièrement vulnérables aux attaques. Les technologies de l’information et de la communication (TIC) qui avaient été sous-traitées à des tiers ont été fréquemment touchées. À cet égard, il est également apparu que les prestataires de services avaient souvent reçu des instructions de cybersécurité insuffisamment claires ou que des contrôles réguliers visant à vérifier le respect de ces instructions n'étaient pas effectués. La SFMA a également constaté que les processus qualitatifs de gestion des risques opérationnels ne parvenaient souvent pas à prendre explicitement en compte les cyber-risques et qu’aucun système de gestion des risques systématique et complet n’était donc assuré pour le domaine cyber. Dans le cadre d'une révision complète de la circulaire sur les risques opérationnels des banques (voir "Révision des circulaires", Rapport annuel page 69), les règles de surveillance des risques cyber ont également été spécifiquement révisées. Cela comprenait, entre autres, des clarifications sur l'établissement d'inventaires des TIC servant de base à l'identification rapide des points faibles et des liens entre les menaces et les risques (ce que l'on appelle le renseignement sur les menaces). (Extrait du rapport annuel 2022)

Documents

Graphiques et informations visuelles