Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Centre de sécurité Internet
Tests totaux:
Cette semaine:
Aujourd'hui:
ImmuniWebConformitéCirculaire FINMA 2023/1 Compliance

Circulaire FINMA 2023/1 Compliance

Temps de lecture:10 min. Mise à jour:8 juillet 2025

La circulaire FINMA 2023/1 prévoit des exigences réglementaires renforcées pour les institutions financières en matière de lutte contre le blanchiment d’argent et le financement du terrorisme, en mettant l’accent sur la diligence raisonnable basée sur les risques, la transparence et les obligations de déclaration.

Circulaire FINMA 2023/1 Compliance
Disclaimer: Aucun conseil juridique – Cette page est présentée à titre informatif et éducatif uniquement, rien sur cette page ne doit être interprété comme un avis juridique. Il convient de contacter un cabinet d'avocats ou un avocat pour obtenir des conseils sur des questions juridiques spécifiques.

Le secteur financier suisse, réputé pour sa stabilité et sa discrétion, opère dans un cadre réglementaire solide conçu pour préserver son intégrité. L’Autorité fédérale de surveillance des marchés financiers (FINMA) en est un pilier fondamental. En décembre 2022, la FINMA a publié une mise à jour importante de ses directives réglementaires: la circulaire FINMA 2023/1 «Risques opérationnels et résilience - Banques», entrée en vigueur le 1er janvier 2024, avec une période de transition de deux ans pour la conformité totale en matière de résilience opérationnelle jusqu’au 1er janvier 2026.

Cette circulaire représente une refonte complète de sa prédécesseure, la circulaire 2008/21, et introduit des exigences accrues en matière de gestion des risques opérationnels, notamment ceux liés aux technologies de l'information et de la communication (TIC), aux données critiques et aux cyberrisques, tout en mettant l'accent sur la résilience opérationnelle.

Télécharger la présentation Platform

Aperçu de la circulaire FINMA 2023/1

La circulaire FINMA 2023/1 vise à adapter les pratiques de supervision aux avancées technologiques et aux évolutions réglementaires mondiales, y compris les principes du Basel Committee on Banking Supervision. Elle est conçue pour être fondée sur des principes et neutre sur le plan technologique, permettant une approche proportionnelle basée sur la taille, la complexité, la structure et le profil de risque d'un établissement.

La circulaire se concentre sur plusieurs domaines clés:

  • Gestion des risques opérationnels: affiner l'identification, l'évaluation, la mitigation et la surveillance des risques opérationnels dans toutes les activités commerciales.
  • Gouvernance des TIC: établir des responsabilités claires et des cadres de gouvernance solides pour les technologies de l'information et de la communication.
  • Risques cybernétiques: Renforcement des mesures visant à identifier, protéger contre, détecter, réagir et récupérer de cybermenaces.
  • Gestion des données critiques: étendre la définition et les exigences de protection des données critiques, en couvrant la confidentialité, l'intégrité et la disponibilité.
  • Résilience opérationnelle: introduction du concept de «résilience opérationnelle», exigeant que les institutions identifient les fonctions critiques, définissent les tolérances aux perturbations et garantissent la capacité à fournir des services minimaux, même dans des scénarios graves mais plausibles.
  • Externalisation: Renforcement des exigences en matière de gestion des risques liés à l'externalisation de fonctions importantes à des prestataires de services tiers.

Circulaire FINMA 2023/1 Compliance

Aspects clés de la conformité à la circulaire FINMA 2023/1

La conformité à la circulaire FINMA 2023/1 exige une approche multiforme, abordant plusieurs aspects techniques et organisationnels:

  • Identification et classification des fonctions et des données critiques: les institutions doivent identifier exhaustivement leurs fonctions commerciales critiques ainsi que les actifs TIC et les données sous-jacents qui les soutiennent. Cela inclut la classification des données en fonction de leur criticité (confidentialité, intégrité, disponibilité) et la tenue d’un inventaire complet et à jour.
  • Définition des tolérances aux perturbations: pour chaque fonction critique, les institutions doivent définir des «tolérances aux perturbations», en précisant la durée maximale acceptable des interruptions et des pertes de données. Ces tolérances doivent être approuvées par le conseil d'administration et faire l'objet d'un examen régulier.
  • Gouvernance ICT robuste: cela comprend la définition de rôles et de responsabilités clairs pour les TIC, la mise en œuvre de processus de gestion du changement solides, la tenue d'inventaires des actifs TIC et l'élaboration de plans complets de continuité des activités et de reprise après sinistre.
  • Gestion améliorée des cyber-risques: mise en œuvre d'une stratégie de cyberdéfense robuste couvrant l'identification des menaces, les mesures de protection (par exemple, authentification forte, DLP, cryptage), la détection en temps réel (par exemple, intégration SIEM), la réponse aux incidents et la surveillance continue.
  • Traitement sécurisé des données tout au long de leur cycle de vie: garantir la sécurité des données critiques tout au long de leur cycle de vie, depuis leur création et leur acquisition jusqu’à leur traitement, leur stockage, leur partage, leur conservation et leur suppression. Cela inclut des contrôles d'accès stricts, une surveillance continue et une gestion sécurisée des données critiques dans les environnements de test.
  • Gestion des risques liés aux tiers: exercer une diligence accrue, une surveillance continue et des contrôles contractuels sur les fonctions externalisées et les prestataires de services externes, notamment en matière de protection des données et d’opérations transfrontalières.
  • Gestion et signalement des incidents: mise en place de procédures claires pour détecter, évaluer et signaler les incidents de sécurité, notamment les cyberattaques et les fuites de données, à la FINMA dans des délais précis (par exemple, 24 heures pour les incidents cybernétiques importants, 72 heures pour les rapports détaillés).
  • Évaluations et tests réguliers: Mise en œuvre d’évaluations régulières des risques et des contrôles, y compris des analyses de scénarios et des tests de stress, afin d’évaluer l’efficacité des mesures mises en place et la résilience opérationnelle de l’institution.
  • Supervision du conseil d'administration: le conseil d'administration a un rôle largement renforcé, doit approuver les fonctions critiques, les tolérances aux perturbations et l'approche globale en matière de résilience opérationnelle, et surveiller régulièrement la conformité.
Télécharger la présentation Platform

Pourquoi est-il important de se conformer à la circulaire FINMA 2023/1?

La conformité à la circulaire FINMA 2023/1 est primordiale pour les institutions financières suisses pour plusieurs raisons essentielles:

  • Maintien de la stabilité financière: la circulaire s'attaque directement aux risques opérationnels susceptibles de perturber la stabilité d'un établissement et de s'étendre au système financier plus large. En renforçant la résilience, elle contribue à la stabilité financière globale.
  • Protection des données des clients: en renforçant la gestion des données critiques, la circulaire vise à protéger les informations sensibles des clients contre les fuites, les pertes et les accès non autorisés, afin de maintenir la confiance et la réputation.
  • Atténuer les risques de réputation et financiers: la non-conformité peut entraîner de graves dommages à la réputation, des sanctions financières importantes, voire la perte des licences d'exploitation.
  • S’adapter à l’évolution des menaces: le paysage financier est constamment exposé à de nouvelles et sophistiquées cybermenaces. La circulaire garantit que les institutions disposent de défenses et de capacités de réponse à jour.
  • Respect des normes internationales: en s'alignant sur les principes internationaux en matière de résilience opérationnelle, la circulaire FINMA 2023/1 garantit que les institutions financières suisses restent compétitives et conformes aux meilleures pratiques mondiales.
  • Assurer la continuité des activités: l’accent mis sur la résilience opérationnelle garantit que les établissements peuvent continuer à fournir des services essentiels même en cas de perturbations majeures, minimisant ainsi l’impact sur les clients et le marché.

Circulaire FINMA 2023/1 Compliance

Qui doit se conformer à la circulaire FINMA 2023/1?

La circulaire FINMA 2023/1 s'applique principalement aux banques, négociants en valeurs mobilières, groupes financiers et conglomérats supervisés par la FINMA. Si les exigences fondamentales s'appliquent à tous, la circulaire intègre explicitement le principe de proportionnalité, ce qui signifie que les institutions plus petites ou moins complexes peuvent bénéficier de certaines allégations, tandis que les institutions plus importantes et systémiquement importantes sont soumises à des exigences plus strictes.

Le conseil d'administration et la direction générale ont une responsabilité majeure pour assurer la conformité et établir des cadres de gouvernance robustes.

Télécharger la présentation Platform

Comparaison entre la circulaire 2023/1 de la FINMA suisse et le RGPD

Si la circulaire FINMA 2023/1 et le règlement général sur la protection des données (RGPD) visent tous deux à protéger les données, leurs champs d'application et leurs orientations sont différents:

Caractéristique Swiss FINMA Circular 2023/1 RGPD (règlement général sur la protection des données)
Champ d'application Risques opérationnels, résilience et gestion des données pour les établissements financiers soumis à la surveillance de la FINMA. Accent mis sur les données critiques (confidentialité, intégrité, disponibilité). Protection des données à caractère personnel des personnes physiques au sein de l'UE/EEE. Focus sur les données à caractère personnel et les droits individuels.
Objectif principal Garantir la stabilité opérationnelle et la résilience des institutions financières, y compris la sécurité et la disponibilité des données critiques. Protéger la vie privée et les droits fondamentaux des personnes concernant leurs données à caractère personnel.
Définition des données Le concept plus large de «données critiques» inclut les données essentielles aux opérations commerciales, aux rapports réglementaires et à la prise de décision, en plus des données confidentielles. Définit strictement les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable.
Accent Continuité opérationnelle, cyber-résilience et robustesse des systèmes et processus informatiques. Principes de confidentialité des données (par exemple, traitement licite, minimisation des données, exactitude), droits des personnes concernées (par exemple, droit d'accès, droit à l'effacement) et responsabilité.
Application FINMA, par le biais de mesures de surveillance, d'amendes et d'un éventuel retrait de licence. Autorités chargées de la protection des données (APD) dans les États membres de l'UE, avec des amendes administratives importantes (jusqu'à 4 % du chiffre d'affaires annuel mondial ou 20 millions d'euros).
Cross-Border Exigences spécifiques pour les opérations transfrontalières et les transferts de données, en mettant l'accent sur l'évaluation des risques et le respect de la confidentialité suisse. Règles strictes pour les transferts internationaux de données, exigeant des décisions d'adéquation, des Standard Contractual Clauses (SCCs) ou des Binding Corporate Rules (BCRs).
Chevauchement Bien que la circulaire FINMA 2023/1 ait une portée plus large, toute donnée critique qui constitue également une donnée à caractère personnel relève naturellement du champ d’application de la loi fédérale révisée sur la protection des données (LPD), qui s’aligne davantage sur le RGPD. Les institutions doivent veiller à se conformer aux deux. Les institutions financières traitant les données à caractère personnel de résidents de l’UE/EEE doivent se conformer au RGPD, en plus de la circulaire FINMA 2023/1 et de la LPD.

Comment garantir la conformité à la circulaire 2023/1 de la FINMA suisse?

La conformité avec la circulaire FINMA 2023/1 nécessite un effort structuré et continu:

  1. Réalisez une analyse complète des lacunes: évaluez les pratiques actuelles en matière de gestion des risques opérationnels, de gouvernance des TIC, de cybersécurité et de gestion des données par rapport aux exigences de la circulaire.
  2. Définir les fonctions et les données critiques: identifiez méticuleusement toutes les fonctions commerciales critiques et les éléments de données essentiels à leur fonctionnement. Classez les données en fonction de leur criticité (Confidentialité, Intégrité, Disponibilité).
  3. Établir des tolérances de perturbation: Pour chaque fonction critique, définissez des tolérances de perturbation claires et mesurables, approuvées par le conseil d'administration.
  4. Mettez en place des contrôles TIC robustes: renforcez la gouvernance informatique, les contrôles d’accès, la gestion du changement, les plans de réponse aux incidents et les mesures de continuité opérationnelle.
  5. Renforcez votre posture en matière de cybersécurité: mettez en œuvre une stratégie de cyberdéfense multicouche, incluant la veille des menaces, la gestion des vulnérabilités, la surveillance de la sécurité et des tests de pénétration réguliers.
  6. Renforcez les mesures de protection des données: mettez en place des mesures pour protéger les données critiques tout au long de leur cycle de vie, notamment le chiffrement, la prévention des pertes de données (DLP) et une gestion robuste des accès.
  7. Réviser et améliorer les cadres d'externalisation: s'assurer que les prestataires de services tiers répondent aux exigences de la FINMA, notamment en matière de due diligence rigoureuse, d'accords contractuels et de surveillance continue.
  8. Élaborer et tester des plans de résilience: créer et tester régulièrement des plans complets de résilience opérationnelle, incluant des scénarios de perturbations graves mais plausibles.
  9. Former et sensibiliser: Former les employés à leurs rôles et responsabilités en matière de risques opérationnels, de protection des données et de cybersécurité.
  10. Mettre en place des mécanismes de reporting: instaurer des canaux de reporting clairs et rapides concernant les risques opérationnels, les incidents et l’état de conformité, destinés à la direction générale et au conseil d’administration.
  11. Application de la proportionnalité: adaptez la mise en œuvre en fonction de la taille, de la complexité et du profil de risque de l'institution.
Télécharger la présentation Platform

Conséquences de la non-conformité à la circulaire FINMA 2023/1

Le non-respect de la circulaire FINMA 2023/1 peut entraîner de graves conséquences pour les institutions soumises à surveillance:

  • Mesures coercitives réglementaires: la FINMA peut imposer une gamme de mesures administratives, notamment des avertissements, des réprimandes, des restrictions d'activité et, ultimement, le retrait de l'autorisation d'exploitation.
  • Sanctions financières: bien que la circulaire elle-même ne précise pas de sanctions directes comme le RGPD, les violations peuvent entraîner des sanctions financières, notamment si elles sont liées à des infractions à d'autres lois (par exemple, les lois sur la protection des données, le secret bancaire).
  • Atteinte à la réputation: les violations de sécurité ou les défaillances opérationnelles dues à la non-conformité peuvent endommager gravement la réputation d'une institution et la confiance des clients.
  • Responsabilité civile: les institutions peuvent faire l'objet de poursuites civiles de la part de clients ou d'autres parties lésées en raison de pertes de données, d'interruptions de service ou d'autres dommages causés par des défaillances opérationnelles.
  • Responsabilité pénale: dans certains cas, notamment en cas de violation du secret bancaire ou de divulgation non autorisée de données sensibles (par exemple, en vertu des articles 271 ou 273 du Code pénal suisse), les personnes au sein de l’institution pourraient faire l’objet de poursuites pénales.
  • Scrutin accru: les institutions non conformes peuvent faire l’objet d’un scrutin accru de la part de la FINMA, ce qui peut entraîner des audits et des interventions de supervision plus fréquents.

Comment ImmuniWeb aide à se conformer à la circulaire FINMA 2023/1 suisse

ImmuniWeb, avec sa plateforme de sécurité des applications et de gestion de la surface d'attaque alimentée par l'IA, peut aider de manière significative les institutions financières suisses à atteindre et à maintenir la conformité avec la circulaire FINMA 2023/1:

Test de pénétration des APITest de pénétration des API
ImmuniWeb effectue des tests de pénétration approfondis des API, mettant au jour des vulnérabilités telles que des endpoints non sécurisés, des authentifications cassées et des fuites de données, garantissant ainsi la conformité avec l’OWASP API Security Top 10.
Analyse de sécurité des APIAnalyse de sécurité des API
Des analyses automatisées basées sur l'IA détectent les erreurs de configuration, les autorisations excessives et le chiffrement faible dans les API REST, SOAP et GraphQL, fournissant des conseils d'action pour remédier.
Test de pénétration des applicationsTest de pénétration des applications
ImmuniWeb fournit des services de tests de pénétration applicatifs grâce à notre produit primé ImmuniWeb® On-Demand.
Gestion de la posture de sécurité des applicationsGestion de la posture de sécurité des applications
La plateforme IA ImmuniWeb® primée pour la gestion de la posture de sécurité des applications (ASPM) permet de découvrir de manière proactive et continue l'ensemble de l'empreinte numérique d'une organisation, y compris les applications web, les API et les applications mobiles cachées, inconnues et oubliées.
Gestion des surfaces d'attaqueGestion des surfaces d'attaque
ImmuniWeb détecte et surveille en permanence les actifs informatiques exposés (applications Web, API, services cloud), réduisant les angles morts et prévenant les violations grâce à une évaluation des risques en temps réel.
Tests de pénétration automatisésTests de pénétration automatisés
ImmuniWeb fournit des services de tests d'intrusion automatisés avec notre produit primé ImmuniWeb® Continuous.
Tests de pénétration dans le cloudTests de pénétration dans le cloud
Simule des attaques avancées sur les environnements AWS, Azure et GCP afin d'identifier les mauvaises configurations, les rôles IAM non sécurisés et les stockages exposés, conformément aux benchmarks CIS.
Gestion de la posture de sécurité cloud (CSPM)Gestion de la posture de sécurité cloud (CSPM)
Automatise la détection des erreurs de configuration du cloud, des lacunes en matière de conformité (par exemple, PCI DSS, HIPAA) et du shadow IT, et propose des conseils de correction pour une infrastructure cloud résiliente.
Red Teaming automatisé continuRed Teaming automatisé continu
Combine des simulations d'attaques basées sur l'IA et l'expertise humaine pour tester les défenses 24/7, en imitant des adversaires réels sans perturber les opérations.
Simulation continue de violations et d'attaques (BAS)Simulation continue de violations et d'attaques (BAS)
Exécute des scénarios d'attaques automatisées pour valider les contrôles de sécurité, exposant les faiblesses des réseaux, des applications et des terminaux avant que les attaquants ne les exploitent.
Tests de pénétration continusTests de pénétration continus
Fournit un pentesting continu, renforcé par l’IA, pour identifier les nouvelles vulnérabilités après déploiement, garantissant une atténuation proactive des risques au-delà des audits ponctuels.
Continuous Threat Exposure Management (CTEM)Continuous Threat Exposure Management (CTEM)
Hiérarchise et corrige les risques en temps réel en corrélant les informations sur les menaces avec les vulnérabilités des actifs, minimisant les fenêtres d'exploitation.
Renseignements sur les cybermenacesRenseignements sur les cybermenaces
Surveille le Dark Web, les sites de paste et les forums de hackers à la recherche d'identifiants volés, de données divulguées et de menaces ciblées, permettant ainsi des mesures préemptives.
Gestion de la posture de sécurité des donnéesGestion de la posture de sécurité des données
La plateforme IA ImmuniWeb® primée pour la gestion de la posture de sécurité des données permet de détecter et de surveiller en continu les actifs numériques exposés à Internet, y compris les applications Web, les API, le stockage dans le cloud et les services réseau.
Dark Web MonitoringDark Web Monitoring
Analyse les marchés du Darknet à la recherche de données compromises sur les employés/clients, de propriété intellectuelle et de schémas frauduleux, et alerte les organisations en cas de violation.
Tests de pénétration mobilesTests de pénétration mobilesTeste les applications iOS/Android pour la présence de stockage non sécurisé des données, de risques de reverse engineering et de failles API, conformément aux directives OWASP Mobile Top 10.
Analyse de la sécurité mobileAnalyse de la sécurité mobile
Automatise l'analyse statique (SAST) et dynamique (DAST) des applications mobiles afin de détecter les vulnérabilités comme les secrets codés en dur ou les configurations TLS faibles.
Évaluation de la sécurité réseauÉvaluation de la sécurité réseau
Identifie les pare-feu mal configurés, les ports ouverts et les protocoles faibles sur les réseaux locaux et hybrides, renforçant les défenses.
Test d'intrusion en tant que service (PTaaS)Test d'intrusion en tant que service (PTaaS)
Fournit des pentesting évolutifs, basés sur un abonnement, avec des rapports détaillés et un suivi des remédiations pour des workflows de sécurité agiles.
Suppression des sites Web de phishingSuppression des sites Web de phishing
Détecte et accélère la suppression des sites de phishing usurpant votre marque, minimisant les atteintes à votre réputation et les pertes dues à la fraude.
Gestion des risques liés aux tiersGestion des risques liés aux tiers
Évalue la posture de sécurité des fournisseurs (par exemple, API exposées, logiciels périmés) afin de prévenir les attaques de la chaîne d'approvisionnement et d'assurer la conformité.
Tests d'intrusion basés sur les menaces (TLPT)Tests d'intrusion basés sur les menaces (TLPT)
Simule des menaces persistantes avancées (APT) adaptées à votre secteur, testant les capacités de détection et de réponse face à des chaînes d’attaque réalistes.
Tests de pénétration WebTests de pénétration Web
Des tests manuels et automatisés permettent de détecter les failles SQLi, XSS et de logique métier dans les applications web, conformément au Top 10 OWASP et aux normes réglementaires.
Analyse de sécurité webAnalyse de sécurité web
Effectue des scans DAST continus pour détecter les vulnérabilités en temps réel, en s'intégrant aux pipelines CI/CD pour une efficacité DevSecOps.

En tirant parti des solutions complètes d'ImmuniWeb, les institutions financières suisses peuvent renforcer leur résilience opérationnelle, améliorer leur posture en matière de cybersécurité et démontrer une conformité robuste aux exigences techniques et organisationnelles de la circulaire FINMA 2023/1, tout en protégeant leurs opérations et leurs clients.

Télécharger la présentation Platform

Liste des ressources officielles

Répondez aux exigences réglementaires grâce à la plateforme IA ImmuniWeb®.

Conformité en matière de cybersécurité

ImmuniWeb peut également aider à se conformer à d'autres lois et réglementations en matière de protection des données:

Moyen-Orient et Afrique

Asie-Pacifique

Global

Obtenir une démonstration
Télécharger la présentation de la plateforme

Ce site Web utilise des cookies pour vous offrir une meilleure expérience de navigation. Pour en savoir plus, consultez notre politique de confidentialité. En continuant à utiliser ce site Web, vous consentez à notre utilisation des cookies.

Parlez à un expert