Conformité à la FINMA suisse
FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.
Conformité à la FINMA suisse
Qu’est-ce que la circulaire FINMA sur le risque opérationnel?
Circular 2023/1 concretizes FINMA's supervisory practice on operational risk, ICT governance, cyber risk, critical-data handling, cross-border services and operational resilience. Operational resilience is the ability to restore critical functions within a defined tolerance after a disruption.
En matière de cyberrisques, les institutions sont censées identifier, protéger, détecter, réagir et se remettre des cybermenaces, y compris en effectuant régulièrement des analyses de vulnérabilité, des tests d’intrusion et des exercices de cybersécurité, et signaler les cyberattaques à la FINMA conformément au Guideline 05/2020.
See how ImmuniWeb supports FINMA's vulnerability analyses and penetration testing - for the banking applications that matter. Request a demo· or run a free Community Edition test.
Who Must Comply with FINMA?
Circular 2023/1 applies to:
- Swiss banks and securities firms supervised by FINMA.
- Financial groups and conglomerates within scope of FINMA supervision.
- Other institutions to a proportionate extent, based on size, complexity and risk profile.
The web, mobile and API applications these institutions run fall within the circular's cyber expectations.
Key FINMA Requirements for Application Security
Dans le cadre de la gestion des risques cyber, plusieurs attentes guident les travaux de sécurité des applications:
- • Vulnerability analyses: conduct regular analyses to identify vulnerabilities in ICT systems and applications.
- • Penetration testing: perform regular penetration tests; larger institutions are expected to use threat-led testing (comparable to TIBER/TLPT).
- • Protéger et réagir: assurer la confidentialité, l'intégrité et la disponibilité des données critiques et des TIC, et répondre aux vulnérabilités identifiées.
FINMA Cyber Requirements in Depth
Vulnerability Analyses and Penetration Testing
La FINMA attend des établissements qu’ils effectuent régulièrement des analyses de vulnérabilité et des tests d’intrusion sur leurs systèmes et applications TIC, et qu’ils corrigent les problèmes détectés. Les contrôles prudentiels ont mis en évidence des tests trop restreints: il est donc important de couvrir l’ensemble des applications web, mobiles et API concernées, avec des tests axés sur les menaces pour les grands établissements.
Protection contre les cyberrisques et signalement des incidents
Institutions must protect critical data and ICT and respond to vulnerabilities, and must report cyberattacks to FINMA - a 24-hour early warning and a 72-hour detailed report under Guidance 05/2020. Reducing incident likelihood through regular testing supports both.
Risques courants des applications Web et mobiles à remédier
Les vulnérabilités applicatives que la FINMA attend que vous identifiiez correspondent étroitement à l'OWASP Top 10:
- Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
- Défaillances cryptographiques — chiffrement faible ou absent exposant des données sensibles.
- Injection — Injection SQL, de commande ou autre via des entrées non validées.
- Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
- Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
- Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
- Identification & Authentication Failures — weak login, session or credential handling.
- Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
- Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
- Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.
Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.
How to Support FINMA Circular 2023/1 with ImmuniWeb
- Cartographiez vos actifs TIC. Recensez les applications bancaires et les API exposées à Internet avec ImmuniWeb Discovery.
- Exécutez des analyses de vulnérabilité avec Neuron scanning.
- Effectuez des tests d'intrusion des applications web et mobiles avec On-Demand et MobileSuite.
- Support threat-led testing with expert-led manual engagements for larger institutions.
- Corrigez et retestez avec des rapports exploitables et sans faux positifs.
- Testez en continu avec Continuous dans CI/CD.
How ImmuniWeb Helps You Achieve FINMA Compliance
ImmuniWeb répond aux attentes de la FINMA en matière d'analyse des vulnérabilités et de tests d'intrusion avec des preuves prêtes pour la revue de supervision.
| Exigence | Ce que cela nécessite | Produits ImmuniWeb |
|---|---|---|
| Penetration testing | Tests d’intrusion réguliers et orientés menaces. | On-Demand, MobileSuite |
| Analyses de vulnérabilités | Regular vulnerability analyses and remediation. | Neuron, Discovery |
| Développement sécurisé | Intégrer les tests tout au long du cycle de vie. | Continuous |
ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.
La FINMA face aux cadres internationaux
Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:
| Framework | Perspective sécurité des applications | Comment ImmuniWeb s'aligne |
|---|---|---|
| Circulaire FINMA 2023/1 | Analyses de vulnérabilités + tests d'intrusion | Tests d’intrusion Web/mobile, scanning, ASM, support threat-led |
| EU DORA | Tests de résilience (secteur financier) | Les mêmes tests couvrent les deux |
| Loi fédérale sur la protection des données (LFDP) | Sécurité des données (article 8) | Les mêmes tests couvrent les deux |
| ISO/IEC 27001 | Annexe A: contrôles techniques | Tests comme preuve de contrôle |
Tests d'intrusion vs scans de sécurité
Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.
Liste de contrôle de conformité (Sécurité des applications)
- Inventaire des applications bancaires et des API exposées sur Internet
- Analyses régulières des vulnérabilités effectuées
- Tests d’intrusion effectués (menace-driven pour les grandes institutions)
- Données critiques et TIC protégées ; vulnérabilités corrigées
- Constatations corrigées et retestées ; preuves conservées
- Workflow de déclaration des cyberattaques prêt (24 h / 72 h)
- Tests de résilience opérationnelle pour les fonctions critiques
Why FINMA Compliance Matters
FINMA supervises Swiss financial institutions and expects demonstrable cyber risk management, including regular vulnerability analyses and penetration testing of critical systems, with a strict 24-hour / 72-hour cyberattack reporting regime. Supervisory reviews have specifically flagged testing that is too narrow.
Les applications web, mobiles et API constituant une surface d'attaque principale pour les banques, des tests vérifiables constituent l'un des moyens les plus directs de répondre aux attentes de la FINMA en matière de cybersécurité et de soutenir la résilience opérationnelle.