Auteur : swisscybersecurity.net Source : swisscybersecurity.net Date de publication : 25.11.2025

Auteur : Alexia Muanza (swisscybersecurity.net)
Source : La Finma met en garde contre les risques technologiques dans le secteur financier suisse
Date de publication : 25 novembre 2025
Temps de lecture du résumé : 4 minutes

Résumé exécutif

L'Autorité fédérale de surveillance des marchés financiers (Finma) met en garde dans son monitoring des risques 2025 contre une augmentation dramatique des risques technologiques due à une dépendance croissante au cloud et à l'externalisation de fonctions critiques vers des prestataires externes. 47 % de tous les incidents cybernétiques signalés en 2024 sont imputables à des prestataires de services externes – un risque systémique qui menace la stabilité de l'ensemble de la place financière. La concentration sur quelques fournisseurs technologiques crée des scénarios de points de défaillance uniques, tandis que les systèmes internes obsolètes et la qualité insuffisante des données augmentent davantage la vulnérabilité. Nécessité d'agir : Les établissements financiers suisses doivent fondamentalement renforcer leur résilience technologique – mais la pratique actuelle d'externalisation va diamétralement à l'encontre de cette exigence.

Questions directrices critiques

  • Où se termine la numérisation raisonnable – et où commence la dépendance dangereuse ? Les établissements financiers ne créent-ils pas volontairement, par l'externalisation vers quelques fournisseurs de cloud dominants, des structures oligopolistiques qui sapent à long terme leur propre capacité d'action et leur compétitivité ?

  • Qui porte la responsabilité lorsque l'infrastructure d'importance systémique se trouve chez des groupes technologiques privés ? Le contrôle réglementaire de la Finma est-il encore efficace lorsque des fonctions bancaires critiques fonctionnent sur des serveurs d'hyperscalers américains ou étrangers ?

  • Quelles opportunités d'innovation émergent pour les fournisseurs de cloud européens et suisses ? La concentration des risques identifiée pourrait-elle ouvrir la voie à des solutions d'infrastructure souveraines et décentralisées – ou restera-t-elle au stade d'avertissements réglementaires sans conséquences structurelles ?

Analyse de scénarios : Perspectives d'avenir

Court terme (1 an) :
Les établissements financiers renforcent les plans d'urgence et les redondances, la Finma intensifie les contrôles en cas d'externalisations. On peut s'attendre à davantage d'audits chez les prestataires tiers et à des coûts de conformité plus élevés. Des incidents critiques chez certains fournisseurs de cloud pourraient entraîner à court terme des interruptions de service et une perte de confiance.

Moyen terme (5 ans) :
La réglementation introduira probablement des obligations de diversification renforcées. Les établissements financiers pourraient être contraints de répartir les systèmes critiques sur des architectures multi-cloud ou de recourir à des fournisseurs européens/suisses. Les opportunités de marché pour les fournisseurs de cloud régionaux augmentent. Parallèlement, une fragmentation de l'infrastructure menace, ce qui augmente la complexité et les coûts.

Long terme (10-20 ans) :
Possible renationalisation ou étatisation de l'infrastructure financière numérique critique en réaction aux tensions géopolitiques. Scénarios alternatifs : soit normalisation mondiale des normes de sécurité par la coopération internationale, soit balkanisation numérique avec des solutions insulaires nationales. La question de la souveraineté numérique deviendra une question stratégique de survie pour la place financière suisse.

Résumé principal

a) Thème central & contexte

La Finma identifie dans son monitoring des risques 2025 les dépendances technologiques et les cyberrisques externes comme une menace centrale pour la stabilité du secteur financier suisse. Le déplacement rapide de fonctions critiques vers le cloud et vers des prestataires de services informatiques externes a créé un risque systémique de concentration. L'avertissement intervient dans un contexte d'augmentation des cyberattaques et de plusieurs interruptions de service chez des prestataires tiers – des développements qui pourraient ébranler la confiance dans la résilience de la place financière.

b) Faits et chiffres les plus importants

  • 47 % de tous les incidents cybernétiques en 2024 ont été causés par des fournisseurs externes
  • Banques : Augmentation des fonctions cloud critiques de 60 (2023) à 83 (2024) (+38 %)
  • Assurances : Augmentation de 46 à 50 fonctions cloud critiques (+9 %)
  • 8 banques sur 10 externalisent la majorité de leur infrastructure TIC
  • Vecteurs d'attaque : 37 % accès non autorisé, 30 % attaques DDoS, 14 % vol d'identité
  • Systèmes de paiement (y compris Twint) cibles croissantes de phishing et de plateformes frauduleuses
  • Assureurs externalisent désormais aussi la gestion de capital – concentration accrue des risques

c) Parties prenantes & personnes concernées

Directement concernés :

  • Banques et assurances suisses (opérationnellement et en termes de réputation)
  • Finma (réglementairement, pression d'application)
  • Clients du secteur financier (sécurité des données, disponibilité des services)
  • Fournisseurs de cloud et de services informatiques (questions de responsabilité, contrôles renforcés)

Indirectement impliqués :

  • Économie suisse dans son ensemble (dépendante d'un système de paiement fonctionnel)
  • Décideurs politiques (question de la souveraineté numérique et de l'attractivité de la place économique)
  • Régulateurs internationaux (règlement DORA de l'UE, normes Bâle III)

d) Opportunités & risques

Risques :

  • Effet domino systémique : La défaillance d'un grand fournisseur de cloud pourrait paralyser simultanément plusieurs établissements financiers
  • Verrouillage fournisseur : La dépendance à long terme de quelques groupes technologiques complique le changement et augmente le pouvoir de fixation des prix
  • Vulnérabilité géopolitique : Accès des autorités étrangères aux données, risques de sanctions
  • Systèmes existants obsolètes : Les architectures hybrides complexes créent de nouvelles vulnérabilités
  • Perte de réputation : Des pannes répétées ou des fuites de données mettent en péril la confiance dans la place financière suisse

Opportunités :

  • Potentiel de marché pour les solutions cloud souveraines : Les fournisseurs suisses et européens peuvent renforcer leur position
  • Innovation dans les technologies de sécurité : Demande croissante pour les architectures Zero-Trust, le chiffrement, la détection d'anomalies assistée par IA
  • Rôle de pionnier réglementaire : La Suisse pourrait établir des normes pour une infrastructure financière sécurisée
  • Avantage concurrentiel : Les établissements qui renforcent tôt la résilience gagnent la confiance et des parts de marché

e) Pertinence pour l'action

Pour les établissements financiers :

  • Analyse immédiate des risques de toutes les externalisations et dépendances au cloud
  • Développer des stratégies multi-fournisseurs pour éviter les points de défaillance uniques
  • Prioriser la modernisation des systèmes obsolètes – les dettes techniques deviennent un danger existentiel
  • Tester les plans de réponse aux incidents et préparer des stratégies de communication pour les scénarios de panne

Pour les régulateurs et la politique :

  • Introduire des obligations de diligence raisonnable renforcées pour les externalisations vers des tiers
  • Examiner la promotion de l'infrastructure cloud européenne/suisse comme projet stratégique
  • Intensifier la coopération internationale sur les normes de cybersécurité

Urgence temporelle : La concentration des risques croît plus rapidement que les contre-mesures réglementaires et techniques ne peuvent être mises en œuvre. Les 12 à 24 prochains mois sont décisifs pour des décisions préventives.

Assurance qualité & vérification des faits

Faits vérifiés le : 28 novembre 2025
Source primaire : Monitoring officiel des risques Finma 2025
Chiffres : Tous les pourcentages et chiffres proviennent du document Finma cité
⚠️ Limitation : Aucune ventilation détaillée disponible sur les fournisseurs de cloud spécifiques concernés – probablement non communiquée publiquement pour des raisons réglementaires

Recherche complémentaire

Pour contextualiser l'évolution, les sources actuelles suivantes ont été prises en compte :

  1. EU Digital Operational Resilience Act (DORA) – Exigences renforcées pour les établissements financiers depuis janvier 2025, concerne également les fournisseurs suisses ayant des activités dans l'UE
  2. BACS (Office fédéral de la cybersécurité) – Rapport sur la cybersécurité 2024 : Confirme la tendance croissante des attaques de la chaîne d'approvisionnement également en dehors du secteur financier
  3. Enquête Cisco novembre 2025 : 99 % des PME suisses (y compris les prestataires de services financiers) classées comme cibles faciles pour les cybercriminels – faiblesses structurelles confirmées

Perspectives contradictoires/complémentaires :

  • Industrie du cloud : Arguments en faveur d'une sécurité accrue grâce aux hyperscalers professionnels vs. solutions internes
  • Efficacité des coûts : L'externalisation réduit les coûts opérationnels – la question de l'évaluation des risques reste politiquement controversée

Références

Source primaire :
La Finma met en garde contre les risques technologiques dans le secteur financier suisse – swisscybersecurity.net, 25.11.2025

Sources complémentaires :

  1. Finma – Monitoring des risques 2025 (publication officielle)
  2. EU Digital Operational Resilience Act (DORA) – Cadre réglementaire
  3. BACS Rapport sur la cybersécurité 2024 – Analyse nationale des menaces
  4. Enquête Cisco : 99 % des PME suisses en danger – swisscybersecurity.net, 27.11.2025

Statut de vérification : ✅ Faits vérifiés le 28 novembre 2025

Boussole journalistique

Structures de pouvoir examinées de manière critique : Formation d'oligopoles chez les fournisseurs de cloud et relations de dépendance clairement identifiées
Liberté & responsabilité : Tension entre gains d'efficacité et perte de souveraineté thématisée
Transparence : Lacunes d'information (absence de nomination des fournisseurs) explicitement marquées
Impulsions de réflexion au lieu de répétition : Scénarios et questions directrices favorisent la formation d'un jugement indépendant

Information sur le fichier :
Version : 1.0 | Créé : 28.11.2025 | Licence : CC-BY 4.0 | Contact : [email protected]