Renforcer ensemble la cyberrésilience dans le secteur financier
Le secteur financier est exposé à des cyberrisques accrus. Les cyberincidents et les cyberattaques préjudiciables à la réputation du secteur financier suisse ou susceptibles de déclencher une crise financière grave représentent une menace croissante. L’identification et la lutte contre les cyberrisques impliquent une coopération étroite entre les établissements financiers et les autorités. L'association Swiss FS-CSC entend renforcer la cyberrésilience du secteur et y encourager la collaboration.
Madame Arni, vous êtes la présidente directrice générale de l'association « Swiss Financial Sector Cyber Security Centre » (Swiss FS-CSC) fondée il y a à peine deux ans. Pourquoi un centre de cybersécurité est-il nécessaire pour le marché financier suisse ?
Alexandra Arni: Les cyberrisques ont augmenté et constituent aujourd’hui un risque omniprésent pour le secteur financier. Les cyberincidents et les cyberattaques préjudiciables à la réputation du secteur financier suisse ou susceptibles de déclencher une crise financière grave représentent une menace croissante.
Garantir la résilience n'est donc possible que dans le cadre d'un effort commun et en collaboration avec les autorités : un partenariat public-privé s’impose. C'est pourquoi, après un important travail de fond, les établissements financiers et leurs associations ont fondé au printemps 2022 l'association Swiss FS-CSC en collaboration avec la Confédération – et en particulier avec l'Office fédéral de la cybersécurité (OFCS).
Alexandra Arni: Résidente directrice générale de Swiss FS-CSC et responsable ICT Association suisse des banquiers ASB
Quels acteurs sont représentés au sein du Swiss FS-CSC et comment fonctionne la collaboration ?
Alexandra Arni: Nos membres sont des banques, des compagnies d’assurances, leurs associations, SIX et la Banque nationale suisse. Du côté de la Confédération, l’OFCS, la FINMA et le Secrétariat d'État aux questions financières internationales (SFI) collaborent en qualité de partenaires.
Le travail de l'association est réparti entre plusieurs instances. Le comité de pilotage prend les décisions stratégiques et supervise la cellule de cybersécurité opérationnelle (Operational Cyber Security Cell, OCS) mandatée par l'association. Les principales parties prenantes (notamment les établissements d'importance systémique, les grandes associations et les représentants des autorités mentionnées) siègent au comité de pilotage.
Un autre collège a démarré son travail au début de cette année : la cellule de coordination de crise (Crisis Coordination Cell, CCC). Cette instance joue un rôle de coordination et prend en charge la communication en cas de cybercrise d'importance systémique. Elle soutient notamment la prise des décisions nécessaires en phase critique, mais veille aussi à l'élaboration de solutions stratégiques pour atténuer les cyberattaques et recommande des mesures aux fins de reconstruction de l'infrastructure commune.
Organe important, le groupe d'experts est composé de spécialistes issus de ses différents membres et comprend actuellement sept sections. Il conseille par ailleurs le comité de pilotage (voir graphique).
Graphique : Swiss FS-CSC : les différentes sections du groupe d'experts
Le conseil d’administration de l'association et ses quatre membres (deux du secteur bancaire, deux du secteur de l'assurance) ainsi qu’un secrétariat viennent compléter cette organisation.
Que pensez-vous du cyberrisque encouru actuellement par les entreprises financières en Suisse ? Celui-ci s'est-il aggravé ces deux dernières années ?
Alexandra Arni: Le nombre de cyberincidents signalés à l’OFCS en Suisse a plus que doublé l'année dernière, et la tendance est à la hausse. Le secteur financier est dans la ligne de mire des attaquants, sans compter que la numérisation croissante aggrave encore ce phénomène. Les cybermenaces relèvent des risques les plus dangereux pour les assurances et les banques ; or, les solutions individuelles ne suffisent plus, car les menaces sont devenues trop complexes et trop interconnectées.
Quelle valeur ajoutée le Swiss FS-CSC apporte-t-il au secteur financier ? Quel bilan intermédiaire tirez-vous de ces deux dernières années ?
Alexandra Arni: En matière de cybersécurité, les acteurs du secteur financier doivent unir leurs forces au sein d’une organisation commune, à laquelle participent également les pouvoirs publics. Un établissement financier seul ne peut plus garantir sa sécurité.
Les membres du Swiss FS-CSC renforcent la cyberrésilience de leur propre entreprise, contribuent à la bonne réputation et à la stabilité du secteur financier suisse et jouent un rôle de premier plan dans l’élaboration de la cybersécurité de demain en Suisse.
Avec le recul, je suis particulièrement satisfaite de l’immense engagement de chacun de nos membres, de la qualité de la coopération avec la Confédération et de tout ce que nous avons réalisé ensemble ces deux dernières années au sein du Swiss FS-CSC. L'association s'est développée et a su attirer de nouveaux adhérents. Et depuis l'automne dernier, la mise en place de la cellule de coordination de crise a été menée à bien. Un partenariat public-privé repose avant tout sur une bonne collaboration.
«Les cyberincidents et les cyberattaques préjudiciables à la réputation du secteur financier suisse ou susceptibles de déclencher une crise financière grave représentent une menace croissante.»
Dans quel cas de mise en danger de la cybersécurité, l'association serait-elle amenée à prendre les rênes de la gestion de crise ?
Alexandra Arni: En cas de cyberincident systémique, l'association assume la direction de la coordination et de la communication en collaboration avec la cellule de coordination de crise (CCC). Un cyberincident est d’ordre systémique par exemple lorsqu’il affecte un établissement d'importance systémique et que cette cyberattaque entraîne des répercussions sur le système financier ou la stabilité financière puisqu'il perturbe une infrastructure importante comme le trafic des paiements. Les retombées d’une telle crise sont susceptibles d’affecter l'économie nationale dans son ensemble, ceci au-delà du seul secteur financier. En conséquence, celle-ci ne saurait être gérée sans les efforts conjugués de tous les acteurs majeurs. C'est dans ce but que nous avons créé la cellule de coordination de crise.
Afin de se préparer à de tels scénarios, l'association organise chaque année des cyberexercices aux niveaux stratégique et opérationnel pour ses adhérents. Il s’agit de simuler des scénarios réalistes et de susciter un échange entre les membres.
Quelle place occupe la prévention ? Concrètement, comment les établissements financiers peuvent-ils se prémunir contre les cyberattaques ?
Alexandra Arni: La prévention est un outil important en matière de cybersécurité. Nous nous efforçons de sensibiliser nos affiliés aux dangers qu’ils encourent et de les former afin qu’ils soient réactifs le moment venu. Nous mettons à leur disposition des données sur l’état actuel des menaces sur le Cyber Security Hub (CSH) de l’OFCS, où des informations sont en outre régulièrement échangées entre les différents membres entre eux ainsi qu’avec les pouvoirs publics. Par ailleurs, nous appelons tous les mois nos membres afin de dresser un état des lieux de la cybersituation aux niveaux national et international. En outre, des experts reconnus viennent les informer sur des problématiques touchant au cybermonde dans le cadre de la série de conférences « Lecture Series Swiss FS-CSC ».
Monsieur Jaimes, vous êtes membre du conseil d’administration du Swiss FS-CSC depuis le milieu de l'année dernière en qualité de représentant de l'Association Suisse d'Assurances ASA. Comment évaluez-vous la cyberrésilience du secteur suisse de l'assurance ?
Gabor Jaimes: Elle est difficile à évaluer pour le moment, car, fort heureusement, aucun cyberincident majeur n’est à déplorer jusqu’ici. La plupart des assureurs et des réassureurs réalisent de gros investissements dans leur propre cybersécurité. Jusqu'à présent, aucune attaque d’envergure n’a eu lieu en Suisse, comme celle qui a touché l'assureur-maladie australien Medibank. C'est déjà une très bonne chose. Les entreprises doivent toutefois demeurer vigilantes, car l’évolution du paysage des cyberrisques est extrêmement dynamique. En outre, de nombreux assureurs dommages proposent également des couvertures de cyberassurance à leur clientèle, puisque les cyberrisques sont en principe assurables. Les assureurs sont donc doublement exposés et probablement très sensibles à cette problématique pour cette raison.
« Les banques et les assurances sont aujourd'hui bien positionnées. Il s'agit maintenant d’élargir l’éventail des instruments mis en place et de s’entraîner régulièrement à leur utilisation. »
Gabor Jaimes: Responsable de la cyberassurance à l'Association Suisse d'Assurances ASA et membre du comité directeur de Swiss FS-CSC
Quels avantages les membres du Swiss FS-CSC tirent-ils de leur affiliation et quelle peut être leur implication concrète ? Les intérêts des membres de l’ASA ou de l’Association suisse des banquiers, par exemple, ne sont-ils pas déjà suffisamment représentés par l’intermédiaire de ces instances ? Ceux-ci doivent-ils quand même adhérer directement ?
Gabor Jaimes: L'ASA se concentre sur la cyberassurance comme produit, le Swiss FS-CSC sur le cyberrisque opérationnel des prestataires de services financiers. Ce sont deux choses bien différentes. C'est pourquoi nous recommandons une adhésion individuelle au Swiss FS-CSC. Outre quelques services essentiels, le Swiss FS-CSC offre à ses membres une plateforme d'échange, notamment avec les responsables cyber/IT du monde de la finance.
Dans mon rôle de membre du conseil d’administration, je représente les intérêts des assureurs et des réassureurs qui sont membres du Swiss FS-CSC et j'encourage les non-membres à envisager une adhésion. En cas de survenance d'une cybercrise, ce sera ensuite trop tard.
Alexandra Arni: Il s'agit de la cyberrésilience du secteur financier dans son ensemble, c'est-à-dire de celle des banques et des assurances, et pas uniquement de leurs associations représentatives. Chaque établissement financier est directement exposé aux cyberrisques et doit prendre des dispositions en conséquence. Si l'association Swiss FS-CSC ajoute à cet engagement individuel la dimension nécessaire de la coopération, elle ne saurait remplacer les efforts réalisés par chacun des établissements en particulier. C'est pourquoi ils doivent également être présents en personne.
Les acteurs d'autres secteurs d'importance systémique se réunissent-ils également au sein de structures analogues à celle du Swiss FS-CSC, par exemple celui de l'électricité ou des hôpitaux ? Le secteur financier joue-t-il un rôle de pionnier ?
Gabor Jaimes: Le Swiss FS-CSC constitue en effet un projet pilote en matière de collaboration avec la Confédération et a d’ailleurs été conçu afin de servir de modèle pour d'autres branches. Comme l'Office fédéral de la cybersécurité me l’a confirmé, des efforts sont en cours pour étendre ce modèle prometteur à d'autres secteurs d'importance systémique. Le Swiss FS-CSC est tout disposé à apporter son soutien et à procéder à un partage d’expériences.
« La dynamique du cyberrisque ne cessera de mettre le secteur financier à l'épreuve et imposera des adaptations permanentes au dispositif de résilience. »
Quelles difficultés le secteur financier devrait-il rencontrer prochainement dans le domaine des cyberrisques ? Comment le Swiss FS-CSC entend-il renforcer la cyberrésilience du secteur financier à l'avenir ?
Gabor Jaimes: La dynamique du cyberrisque ne cessera de mettre le secteur financier à l'épreuve et imposera des adaptations permanentes au dispositif de résilience. Le secteur gère des flux financiers à l’échelle mondiale, ce qui le rend intéressant pour les cybercriminels. Rien ne changera vraiment dans un avenir proche.
Une simulation stratégique de cybercrise aura lieu à la mi-mai 2024 pour tous les membres. Elle reposera sur différents scénarios possibles s’inspirant des « Plans d’intervention en cas de crise » déjà élaborés.
À l'avenir, Swiss FS-CSC entend s’organiser en réseau également au niveau international, car les cyberrisques ne s'arrêtent pas aux frontières géographiques. Dans un premier temps toutefois, l'accent est mis sur la Suisse et le Liechtenstein. D'ailleurs, les prestataires de services financiers du Liechtenstein peuvent désormais devenir membres du Swiss FS-CSC.
Alexandra Arni: Nous sommes sur la bonne voie – les banques et les assurances sont aujourd'hui bien positionnées. Il s'agit maintenant d’élargir l’éventail des instruments mis en place et de s’entraîner régulièrement à leur utilisation. À l’avenir, les cyberexercices organisés pour nos membres aux niveaux stratégique et opérationnel continueront de constituer un pan important de notre activité. Nous nous efforçons en outre de recruter de nouveaux membres, car la cyberrésilience sera d’autant plus forte que la couverture s’étendra à l’ensemble du secteur financier.
En savoir plus sur FS-CSC
Le secteur financier fait face à des cyberrisques accrus. Les cyberincidents et les cyberattaques préjudiciables à la réputation du secteur financier suisse ou susceptibles de déclencher une crise financière grave représentent une menace croissante. L’identification et la lutte contre les cyberrisques impliquent une coopération étroite entre les établissements financiers et les pouvoirs publics.
C'est pourquoi l'association Swiss FS-CSC entend renforcer la capacité de résistance du secteur financier face aux cyberrisques – ce que l'on appelle la cyberrésilience – et encourage la pratique d’une coopération institutionnalisée entre les établissements financiers et les pouvoirs publics sur les aspects stratégiques et opérationnels de la cybersécurité.
Les membres du Swiss FS-CSC contribuent activement à façonner l'avenir de la cybersécurité en Suisse. Ils bénéficient ainsi d'un soutien en cas de crise, d'un échange de connaissances, d'une mise en réseau avec des experts et peuvent apporter leur pierre à la cyberrésilience. L'adhésion est ouverte aux banques, assurances, réassurances, maisons de titres et associations financières titulaires d'une autorisation de la FINMA.