A. Contextuellement

Le 7 mai 2020, l’autorité fédé­rale de surveillance des marchés finan­ciers (FINMA) a publié un docu­ment inti­tulé « Communication FINMA sur la surveillance 05/​2020 – Obligation de signa­ler les cybe­rat­taques selon l’article 29 al. 2 LFINMA ». Ainsi que le relève perti­nem­ment Célian Hirsch¹, cette chro­no­lo­gie ne doit rien au hasard. Les cybe­rat­taques ont en effet pros­péré durant la pandé­mie², ce qui a assu­ré­ment généré une réac­tion du régulateur.

Il convient à cet égard de rappe­ler que les cybe­rat­taques figurent parmi les six risques iden­ti­fiés par la FINMA dans son premier moni­to­rage des risques³. Au moment de l’émission de ce rapport, soit en décembre 2019, la FINMA assu­rait avoir émis dans le cadre de sa règle­men­ta­tion des exigences claires, mais concises à l’égard des banques. Un moni­to­ring avait été implé­menté pour analy­ser en continu les menaces, dont les cybe­rat­taques d’envergure et en tirer des ensei­gne­ments utiles. Force est de consta­ter que la séquence tempo­relle est très brève, ce qui permet de subo­do­rer une concré­ti­sa­tion du risque au-delà ce qui était prévi­sible et accep­table initialement.

Le recours accru au télé­tra­vail a en effet ouvert des brèches que les cyber­cri­mi­nels exploitent pour souti­rer de l’argent ou des données. Les cyber­cri­mi­nels devaient s’imaginer que leurs attaques seraient plus fruc­tueuses, en raison du trans­fert d’activités quoti­diennes telles que le travail et l’école vers des solu­tions en ligne (télé­tra­vail, ensei­gne­ment à distance), avec à la clé une dépen­dance accrue de la connec­ti­vité et de l’accès aux ressources⁴).

En mars 2020, le rançon­gi­ciel « Ryuk » a ainsi infecté la société de tech­no­lo­gie finan­cière londo­nienne Finastra, qui four­nit des logi­ciels et des services à plus de 8500 clients, dont 90 des 1000 plus grandes banques dans le monde. Pour stop­per la propa­ga­tion de l’infection, Finastra a rapi­de­ment désac­tivé une partie de ses serveurs, ce qui a provo­qué une panne passa­gère pour les nombreux clients du service⁵. Le secteur bancaire est ainsi parti­cu­liè­re­ment exposé et attrac­tif en termes de gain poten­tiel, ce qui explique que la recru­des­cence préci­tée ait généré une régle­men­ta­tion topique, à ce stade sous forme de commu­ni­ca­tion⁶.

B. Analyse des attentes du régulateur

I. Introduction

Dans le cadre de son acti­vité de surveillance, la FINMA publie des commu­ni­ca­tions qui s’adressent à un groupe de porteurs d’au­to­ri­sa­tion clai­re­ment défini. Ces commu­ni­ca­tions contiennent des données impor­tantes ou urgentes, des expli­ca­tions sur des ques­tions cruciales pour les assu­jet­tis ou des indi­ca­tions sur des risques actuels⁷.

La Communication 05/​2020 vise à rappe­ler aux établis­se­ments soumis à la surveillance de la FINMA (art. 29 al. 1 LFINMA) l’exigence légale d’annoncer immé­dia­te­ment tout événe­ment impor­tant du point de vue de la surveillance (art. 29 al. 2 de la LFINMA⁸), ce qui vise les événe­ments impor­tants en lien avec des cybe­rat­taques, dont le degré d’importance est exposé dans la commu­ni­ca­tion⁹ et dans son annexe 1¹⁰.

L’article 29 al. 1 LFINMA est une clause géné­rale qui régit la trans­mis­sion d’informations à l’autorité de surveillance dans les cas qui ne sont pas déjà trai­tés par une dispo­si­tion spéciale. Elle suscite de nombreux débats, notam­ment en rela­tion avec l’application du prin­cipe nemo tene­tur¹¹.

II. Risques iden­ti­fiés et actions attendues

La FINMA évoque plusieurs types de risques : des risques pécu­niaires directs¹², mais égale­ment d’entrave à la dispo­ni­bi­lité, la confi­den­tia­lité et l’intégrité d’infrastructures tech­no­lo­giques d’importance critique et d’informations sensibles. Elle quali­fie l’importance d’une cybe­rat­taque à l’aune a) d’une entrave directe ou indi­recte de la protec­tion des indi­vi­dus (créan­ciers, inves­tis­seurs, assu­rés), b) respec­ti­ve­ment du bon fonc­tion­ne­ment des marchés, avant de c) défi­nir et détailler l’annonce à opérer.

a) Entrave directe ou indi­recte de la protec­tion des individus

L’obligation d’annonce concerne donc les cybe­rat­taques qui ont atteint partiel­le­ment ou tota­le­ment leur but, sur des fonc­tions d’importance critique¹³, dont la défaillance ou le dysfonc­tion­ne­ment auraient des consé­quences consi­dé­rables sur la protec­tion des indi­vi­dus et entra­ve­raient forte­ment cette protec­tion. La protec­tion de la dispo­ni­bi­lité est nommé­ment évoquée. Il s’agit donc d’assurer que les données sont acces­sibles et exploi­tables sur demande par une entité auto­ri­sée¹⁴).

La mise en œuvre de cette exigence a lieu, notam­ment, par la sauve­garde des infor­ma­tions, la gestion de la conti­nuité de l’activité et la protec­tion des enre­gis­tre­ments. Le régu­la­teur évoque égale­ment la protec­tion de l’intégrité et de la confi­den­tia­lité. L’intégrité des données comprend l’assurance de l’intégralité des données, de leur vali­dité et de leur actua­lité. Elle est mise en œuvre notam­ment par l’implémentation d’une protec­tion contre les logi­ciels malveillants, ainsi que le déve­lop­pe­ment et la main­te­nance des systèmes d’information. Quant à la confi­den­tia­lité, elle consiste à assu­rer que des données ne sont pas commu­ni­quées ou révé­lées à des indi­vi­dus, enti­tés ou proces­sus non auto­ri­sés. Sa préser­va­tion néces­site de multiples actions citées ici à titre exem­pla­tif¹⁵ :

• Sécurisation des appa­reils mobiles et des proces­sus de télétravail ;
• Gestion des actifs ;
• Contrôle d’accès ;
• Utilisation de la cryptographie ;
• Sécurité physique et environnementale ;
• Journalisation et surveillance ;
• Sécurité de l’information dès la gestion de projet (Privacy by Design)
• …¹⁶

Somme toute, la FINMA ne fait ainsi que rappe­ler les prin­cipes fonda­men­taux figu­rant dans diffé­rentes normes (notam­ment l’art. 7 LPD) de sécu­rité des systèmes d’information, en les concré­ti­sant de manière super­fi­cielle dans sa crité­ri­sa­tion du degré de gravité d’une cybe­rat­taque, ainsi que dans la défi­ni­tion du degré de gravité¹⁷. Il est à cet égard expres­sé­ment indi­qué que les critères présen­tés le sont pour procé­der à une première évalua­tion du degré de gravité de la cybe­rat­taque. Ils n’exonèrent dès lors pas les assu­jet­tis d’un examen qui s’apparente, en réalité, à un audit complet du système d’information.

À ces fonc­tions d’importance critique, le régu­la­teur lie des ressources inti­tu­lées « actifs critiques ». Il s’agit entre autres du person­nel, de l’infrastructure tech­no­lo­gique, des infor­ma­tions, des bâti­ments, et des four­nis­seurs essen­tiels aux proces­sus de ces fonc­tions d’importance critique¹⁸.

La FINMA, qui offre un pano­rama dans l’Annexe 2 des actifs d’importance critique et de cybe­rat­taques sur leurs objec­tifs de protec­tion, attend donc de chaque assu­jetti qu’il iden­ti­fie ses fonc­tions d’importance critique, les proces­sus corré­lés et les actifs critiques qui les supportent. Cette véri­table carto­gra­phie devra, en sus d’atteindre une granu­la­rité impor­tante, être mis à jour en perma­nence. Il s’agit en réalité d’une obli­ga­tion de résul­tat. La FINMA indique en effet que la concré­ti­sa­tion doit inter­ve­nir d’ici le 1^er septembre 2020, voire aupa­ra­vant sur une base best effort.

b) Bon fonc­tion­ne­ment des marchés finan­ciers en Suisse

La deuxième hypo­thèse évoquée de manière plus géné­rale (le bon fonc­tion­ne­ment des marchés finan­ciers en Suisse) consti­tue en réalité le worst case scena­rio, dès lors qu’il s’agirait d’une cybe­rat­taque concer­nant simul­ta­né­ment plusieurs établis­se­ments, ou des établis­se­ments d’importance systé­mique ou des établis­se­ments four­nis­sant des services inté­grés. Le fonc­tion­ne­ment inté­gral du marché finan­cier pour­rait alors être affecté.

c) Définir et détailler l’annonce à opérer

Lorsqu’une cybe­rat­taque répon­dant à la crité­ri­sa­tion, ainsi qu’aux degrés de gravité préci­tés est iden­ti­fiée, l’établissement concerné informe (par le biais du Key Account Manager) la FINMA dans les 24 heures, après qu’une première analyse de gravité a été opérée. Dans les faits ce délai est très court et il néces­site une parfaite orga­ni­sa­tion interne et des ressources en suffi­sance. Dans les 72 heures, il convien­dra ensuite de détailler via la plate-forme de saisie et de demande de la FINMA la nature, la gravité, les consé­quences, ainsi que les mesures correc­trices et de commu­ni­ca­tion. Tout nouveau déve­lop­pe­ment génère une obli­ga­tion d’annonce supplé­men­taire dans les 72 heures.

En fonc­tion du degré de gravité de la cybe­rat­taque, le devoir de docu­men­ter les faits s’avère plus ou moins étendu. En cas de cybe­rat­taque de gravité élevée ou grave, il faut produire un rapport conclu­sif sur les causes (téno­ri­sant les motifs de la réus­site, les effets en termes régle­men­taires et de clien­tèle, ainsi que les mesures prises). Les preuves et analyses du bon fonc­tion­ne­ment de la cellule de crise doivent égale­ment être appor­tées en cas de cybe­rat­taque grave. La FINMA exige égale­ment un rapport conclu­sif sur les causes pour les cybe­rat­taques de gravité moyenne. La Communication manque de clarté et de préci­sion à cet égard, car les obli­ga­tions seraient les mêmes qu’en cas de cybe­rat­taque de gravité élevée, ce qui semble peu plausible.

C. Conclusions prospectives

La Communication 05/​2020 consti­tue un premier pas inté­res­sant. Elle a le mérite d’orienter les actions des assu­jet­tis et de défi­nir un chemin en cas de cybe­rat­taque. Satisfaire aux attentes du régu­la­teur demeure toute­fois rela­ti­ve­ment complexe. Les indi­ca­tions sont très géné­rales pour ne pas dire géné­riques et les établis­se­ments devront inves­tir massi­ve­ment à l’aveugle sans avoir la certi­tude de satis­faire aux attentes émises par nature évolu­tives. Dans ces circons­tances, l’émission d’une Circulaire s’avère néces­saire pour qu’une sécu­rité juri­dique puisse prospérer.

1. https://​cdbf​.ch/​r​e​p​e​r​a​g​e​s​/​o​b​l​i​g​a​t​i​o​n​-​d​i​n​f​o​r​m​e​r​-​l​a​-​f​i​n​m​a​-​d​e​s​-​c​y​b​e​r​a​t​t​a​q​u​es/.
2. Timothée Talbi, Les cybe­rat­taques contre les banques ont triplé pendant le confi­ne­ment, Les Échos 15 juillet 2020.
3. FINMA, Monitorage des risques 2019, p. 7 et 10.
4. Rapport semes­triel 2020/​I, Centrale d’enregistrement et d’analyse pour la sûreté de l’information Melani , p. 24.
5. https://www.bloomberg.com/news/articles/2020–04-08/how-finastra-survived-a-Ransomware-attack-without-paying-ransom.
6. la FINMA se réserve la possi­bi­lité d’émettre une circulaire.
7. Lignes direc­trices appli­cables à la commu­ni­ca­tion du 25 septembre 2014.
8. pour un examen de la nature et l’ampleur du devoir de colla­bo­ra­tion, cf. arrêt non-publié 2C_​790/​2019 du 14 septembre 2020, consid. 7.2.
9. Jacques de Werra /​ Yaniv Benhamou, Cyberassurance : instru­ment utile pour la cyber­sé­cu­rité des entre­prises ? in : Jusletter 24 août 2020, p. 6.
10. Qui comprend une crité­ri­sa­tion, asso­ciée à une défi­ni­tion du degré de gravité permet­tant de conclure à l’existence d’un risque moyen élevé ou grave.
11. Le droit de ne pas s’auto-incriminer ; BSK FINMAG-TRUFFER, Art. 29 FINMAG, N 20 ff.
12. À l’instar des rançongiciels
13. À titre exem­pla­tif : trafic des paie­ments, négoce bour­sier, gestion de données person­nelles parti­cu­liè­re­ment sensibles dans l’assurance-vie ou l’assurance mala­die, etc.
14. Notamment Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence, Annexe des direc­tives sur les exigences mini­males qu’un SGPD doit remplir, version du 15 avril 2014.
15. Cf. Annexe de la norme ISO 27001.
16. pour de plus amples infor­ma­tions, cf. Sébastien Fanti, Protection des données infor­ma­tiques, in : Jean-Philippe Dunand /​ Pascal Mahon (éds), La protec­tion des données dans les rela­tions de travail, Genève /​ Zurich 2017, 230 ss.
17. Cf. Annexe 1.
18. Par exemple des four­nis­seurs de services essen­tiels ; en cas de cybe­rat­taque ou de cybe­rin­ci­dent chez le four­nis­seur, l’établissement est respon­sable de le signa­ler ; mieux vaudrait dès lors inté­grer aux contrats conclus avec ces four­nis­seurs la tota­lité des obli­ga­tions figu­rant dans la Communication.