Le dispositif global de l’Autorité fédérale de surveillance des marchés financiers (Finma) contre les cyber-risques connaît des lacunes, pointe lundi le Contrôle fédéral des finances (CDF) dans un rapport. Le gendarme financier doit en outre composer avec les manquements de banques, qui ne signalent pas suffisamment les cyberincidents.

Si le CDF juge appropriées les directives contraignantes émises en 2017 par la Finma pour les banques et les négociants en valeurs mobilières, il pointe par contre du doigt des lacunes dans le dispositif des cyber-risques. Un seul exercice intersectoriel a été mené en trois ans. Une organisation de crise opérationnelle est toujours en train d’être mise en place.

Même s’il a été développé de manière constante avec les ressources disponibles, le dispositif se développe avec lenteur. La CDF juge qu’il existe un risque que la surveillance des cyber-risques ne suive pas les activités prévues, mais soit adaptée aux ressources disponibles.

Enfin, la CDF constate que les banques n’ont pas assez donné suite à l’obligation de signaler les cyberincidents. Il manque donc au gendarme financier «une source d’information importante» sur les cyber-risques au niveau des institutions. L’intensification des contrôles sur place pourrait remédier en partie à ces lacunes.