Pour garantir la meilleure expérience de navigation, veuillez activer JavaScript dans votre navigateur web. Sans cela, de nombreuses fonctionnalités du site seront inaccessibles.


Tests totaux:
485,773,462
737,046
130,956

Conformité à la FINMA suisse

FINMA Circular 2023/1 requires Swiss banks to manage operational and cyber risk and test their resilience. Learn how ImmuniWeb supports its vulnerability analyses and penetration testing.

Temps de lecture:8 min. Mise à jour:8 juillet 2025
Circulaire FINMA 2023/1 Compliance
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
Swiss FINMA Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.

Conformité à la FINMA suisse

Qu’est-ce que la circulaire FINMA sur le risque opérationnel?

Circular 2023/1 concretizes FINMA's supervisory practice on operational risk, ICT governance, cyber risk, critical-data handling, cross-border services and operational resilience. Operational resilience is the ability to restore critical functions within a defined tolerance after a disruption.

En matière de cyberrisques, les institutions sont censées identifier, protéger, détecter, réagir et se remettre des cybermenaces, y compris en effectuant régulièrement des analyses de vulnérabilité, des tests d’intrusion et des exercices de cybersécurité, et signaler les cyberattaques à la FINMA conformément au Guideline 05/2020.

See how ImmuniWeb supports FINMA's vulnerability analyses and penetration testing - for the banking applications that matter. Request a demo· or run a free Community Edition test.

Who Must Comply with FINMA?

Circular 2023/1 applies to:

  • Swiss banks and securities firms supervised by FINMA.
  • Financial groups and conglomerates within scope of FINMA supervision.
  • Other institutions to a proportionate extent, based on size, complexity and risk profile.

The web, mobile and API applications these institutions run fall within the circular's cyber expectations.

Key FINMA Requirements for Application Security

Dans le cadre de la gestion des risques cyber, plusieurs attentes guident les travaux de sécurité des applications:

  • • Vulnerability analyses: conduct regular analyses to identify vulnerabilities in ICT systems and applications.
  • • Penetration testing: perform regular penetration tests; larger institutions are expected to use threat-led testing (comparable to TIBER/TLPT).
  • • Protéger et réagir: assurer la confidentialité, l'intégrité et la disponibilité des données critiques et des TIC, et répondre aux vulnérabilités identifiées.

FINMA Cyber Requirements in Depth

Vulnerability Analyses and Penetration Testing

La FINMA attend des établissements qu’ils effectuent régulièrement des analyses de vulnérabilité et des tests d’intrusion sur leurs systèmes et applications TIC, et qu’ils corrigent les problèmes détectés. Les contrôles prudentiels ont mis en évidence des tests trop restreints: il est donc important de couvrir l’ensemble des applications web, mobiles et API concernées, avec des tests axés sur les menaces pour les grands établissements.

Protection contre les cyberrisques et signalement des incidents

Institutions must protect critical data and ICT and respond to vulnerabilities, and must report cyberattacks to FINMA - a 24-hour early warning and a 72-hour detailed report under Guidance 05/2020. Reducing incident likelihood through regular testing supports both.

Risques courants des applications Web et mobiles à remédier

Les vulnérabilités applicatives que la FINMA attend que vous identifiiez correspondent étroitement à l'OWASP Top 10:

  • Broken Access Control — les utilisateurs accédant à des données ou à des actions qu'ils ne devraient pas.
  • Défaillances cryptographiques — chiffrement faible ou absent exposant des données sensibles.
  • Injection — Injection SQL, de commande ou autre via des entrées non validées.
  • Insecure Design — contrôles de sécurité manquants par conception, pas seulement à cause d'un bug.
  • Mauvaise configuration de sécurité — configuration par défaut, incomplète ou non sécurisée.
  • Composants vulnérables et obsolètes — bibliothèques et frameworks non corrigés.
  • Identification & Authentication Failures — weak login, session or credential handling.
  • Échecs d'intégrité des logiciels et des données — mises à jour non fiables, pipelines CI/CD non sécurisés.
  • Échecs de journalisation et de surveillance de la sécurité — les attaques passent inaperçues.
  • Server-Side Request Forgery (SSRF) — le serveur est induit en erreur pour effectuer des requêtes malveillantes.

Pour les applications mobiles, le OWASP Mobile Top 10 constitue la référence équivalente (stockage de données non sécurisé, communication non sécurisée, cryptographie faible, etc.). Identifier fiablement ces problèmes nécessite de tester l'application en cours d'exécution, et non de se limiter à une revue de documentation.

How to Support FINMA Circular 2023/1 with ImmuniWeb

  1. Cartographiez vos actifs TIC. Recensez les applications bancaires et les API exposées à Internet avec ImmuniWeb Discovery.
  2. Exécutez des analyses de vulnérabilité avec Neuron scanning.
  3. Effectuez des tests d'intrusion des applications web et mobiles avec On-Demand et MobileSuite.
  4. Support threat-led testing with expert-led manual engagements for larger institutions.
  5. Corrigez et retestez avec des rapports exploitables et sans faux positifs.
  6. Testez en continu avec Continuous dans CI/CD.

How ImmuniWeb Helps You Achieve FINMA Compliance

ImmuniWeb répond aux attentes de la FINMA en matière d'analyse des vulnérabilités et de tests d'intrusion avec des preuves prêtes pour la revue de supervision.

Exigence Ce que cela nécessite Produits ImmuniWeb
Penetration testing Tests d’intrusion réguliers et orientés menaces. On-Demand, MobileSuite
Analyses de vulnérabilités Regular vulnerability analyses and remediation. Neuron, Discovery
Développement sécurisé Intégrer les tests tout au long du cycle de vie. Continuous

ImmuniWeb On-Demand and MobileSuite deliver web and mobile penetration testing (including support for threat-led engagements); Neuron and Neuron Mobile provide automated scanning; Continuous embeds testing into CI/CD; and Discovery maps the attack surface - producing evidence for FINMA supervision.

La FINMA face aux cadres internationaux

Si vous respectez déjà des normes internationales, les mêmes tests ImmuniWeb les couvrent toutes:

Framework Perspective sécurité des applications Comment ImmuniWeb s'aligne
Circulaire FINMA 2023/1 Analyses de vulnérabilités + tests d'intrusion Tests d’intrusion Web/mobile, scanning, ASM, support threat-led
EU DORA Tests de résilience (secteur financier) Les mêmes tests couvrent les deux
Loi fédérale sur la protection des données (LFDP) Sécurité des données (article 8) Les mêmes tests couvrent les deux
ISO/IEC 27001 Annexe A: contrôles techniques Tests comme preuve de contrôle

Tests d'intrusion vs scans de sécurité

Les deux sont nécessaires. Le scan automatisé (DAST) offre une couverture large et fréquente et est idéal pour les tests continus dans le CI/CD ; le penetration testing manuel trouve les vulnérabilités de logique métier et complexes que les scanners manquent et produit la profondeur attendue par les auditeurs et les régulateurs. Combinez le scanning continu avec du penetration testing manuel périodique, et re-testez après des changements significatifs.

Liste de contrôle de conformité (Sécurité des applications)

  • Inventaire des applications bancaires et des API exposées sur Internet
  • Analyses régulières des vulnérabilités effectuées
  • Tests d’intrusion effectués (menace-driven pour les grandes institutions)
  • Données critiques et TIC protégées ; vulnérabilités corrigées
  • Constatations corrigées et retestées ; preuves conservées
  • Workflow de déclaration des cyberattaques prêt (24 h / 72 h)
  • Tests de résilience opérationnelle pour les fonctions critiques

Why FINMA Compliance Matters

FINMA supervises Swiss financial institutions and expects demonstrable cyber risk management, including regular vulnerability analyses and penetration testing of critical systems, with a strict 24-hour / 72-hour cyberattack reporting regime. Supervisory reviews have specifically flagged testing that is too narrow.

Les applications web, mobiles et API constituant une surface d'attaque principale pour les banques, des tests vérifiables constituent l'un des moyens les plus directs de répondre aux attentes de la FINMA en matière de cybersécurité et de soutenir la résilience opérationnelle.

Foire aux questions

  • Q
    What is FINMA Circular 2023/1?
    A
    La circulaire de la FINMA «Risques opérationnels et résilience – banques», en vigueur depuis le 1er janvier 2024, définit les exigences en matière de risques opérationnels, cyber et résilience pour les institutions financières suisses.
  • Q
    Who must comply with FINMA Circular 2023/1?
    A
    Swiss banks and securities firms, with proportionate expectations extending to other institutions based on size, complexity and risk.
  • Q
    What does FINMA expect for cyber testing?
    A
    Des analyses de vulnérabilité et des tests d’intrusion réguliers, avec des tests axés sur les menaces (comparables à TIBER/TLPT) pour les grands établissements.
  • Q
    What are FINMA's cyberattack reporting deadlines?
    A
    An early warning within 24 hours and a detailed report within 72 hours, under FINMA Guidance 05/2020.
  • Q
    How does ImmuniWeb help with FINMA compliance?
    A
    En fournissant des analyses de vulnérabilité et des tests d'intrusion Web et mobile (y compris un soutien aux missions axées sur les menaces), avec des preuves pour le contrôle prudentiel.
  • Q
    La FINMA s'applique-t-elle aux établissements non bancaires?
    A
    The circular targets banks and securities firms, but many expectations apply proportionately to other supervised institutions.
Veuillez remplir les champs surlignés en rouge ci-dessous.

Talk to a Specialist about
Swiss FINMA Compliance

  • Lancez votre essai gratuit des produits ImmuniWeb
  • Recevez des prix personnalisés
  • Parlez avec nos experts techniques
Gartner Cool Vendor
SC Media
IDC Innovator
*
*
Privé et confidentielVos données seront privées et confidentielles.
Parlez à un expert