Cybersécurité pour GFI genevois : les obligations FINMA en 2025
Un gérant de fortune indépendant (GFI) basé à Genève gère en moyenne plusieurs dizaines de millions de francs suisses pour le compte de clients privés. Ces actifs, et surtout les données qui y sont associées — passeports, déclarations fiscales, relevés bancaires —, font des GFIs des cibles de premier choix pour les cybercriminels. Contrairement à une grande banque qui dispose d'une équipe de sécurité dédiée, un cabinet de moins de dix personnes est souvent protégé par rien de plus qu'un antivirus grand public et une bonne dose d'optimisme.
En 2024, le Centre national pour la cybersécurité (NCSC) a recensé plus de 63'000 incidents cyberen Suisse — un chiffre qui a doublé en un an, avec une hausse du phishing de 79 %. Les acteurs de la gestion de fortune indépendante sont explicitement cités dans les communications de la FINMA comme secteur à risque élevé. L'heure n'est plus à la sensibilisation : c'est une obligation légale.
Ce que la FINMA exige concrètement
Depuis l'entrée en vigueur de la Circulaire FINMA 2023/1 « Risques opérationnels et de résilience — banques », les exigences en matière de cybersécurité ont été substantiellement renforcées pour toutes les entités sous surveillance prudentielle. Bien que les GFIs soient des établissements assujettis à la LSFin et à la LEFin — et non des banques au sens strict —, la FINMA applique ces principes par analogie dans ses communications de surveillance et ses lettres de rappel aux titulaires de licences de gestionnaire.
Concrètement, voici ce que la FINMA attend d'un GFI :
- ▸Identification et classification des actifs informatiques critiques (serveurs, postes, solutions cloud, accès CRM/banques)
- ▸Mise en place de contrôles d'accès robustes : authentification multi-facteurs (MFA) sur tous les systèmes exposés
- ▸Politique de sauvegarde documentée avec tests de restauration réguliers
- ▸Plan de continuité d'activité (PCA) et procédure de réponse à incident
- ▸Notification obligatoire à la FINMA dans les 24 heures en cas d'incident cyber significatif
- ▸Formation annuelle du personnel aux menaces cyber et à l'ingénierie sociale
Sur le plan européen, le règlement DORA (Digital Operational Resilience Act, applicable depuis janvier 2025 dans l'UE) s'applique directement aux entités financières européennes. Pour un GFI suisse, DORA s'applique indirectement dès lors qu'il dépend de prestataires de services numériques (cloud, SaaS) basés dans l'UE ou qu'il sert des clients européens. La prise en compte de DORA dans votre politique IT n'est donc plus optionnelle.
Les 3 risques principaux pour un cabinet de moins de 10 personnes
Phishing et compromission de messagerie (BEC)
Le phishing ciblé — souvent appelé spear-phishing — représente plus de 70 % des vecteurs d'intrusion initiaux dans le secteur financier. Un email usurpant l'identité d'une banque dépositaire ou d'un réviseur suffit à compromettre les accès d'un collaborateur. Dans un cabinet GFI, ce collaborateur a souvent accès à l'intégralité du CRM et des comptes clients. La compromission de messagerie professionnelle (BEC) permet ensuite à l'attaquant de passer des ordres virements frauduleux ou de siphonner des données clients avant d'être détecté — parfois des semaines après l'intrusion initiale.
Ransomware et paralysie opérationnelle
Les groupes de ransomware ciblent délibérément les cabinets de taille intermédiaire : assez grands pour détenir des données sensibles, assez petits pour ne pas disposer de défenses avancées. Une attaque réussie chiffre l'ensemble des fichiers — contrats clients, mandats de gestion, historiques de transactions — et exige une rançon en cryptomonnaies, généralement entre 20'000 et 200'000 CHF. Même en payant, la restauration complète prend en moyenne 4 à 6 semaines, pendant lesquelles le cabinet est paralysé. La FINMA considère ce type d'interruption comme un incident à notifier dans les 24 heures.
Fuite de données clients et violation nLPD
La nouvelle Loi sur la Protection des Données (nLPD), en vigueur depuis septembre 2023, impose aux responsables du traitement de notifier le Préposé fédéral à la protection des données (PFPDT) en cas de violation susceptible d'entraîner un risque élevé pour les personnes concernées. Pour un GFI, une fuite incluant des données financières, fiscales ou patrimoniales de clients privés constitue systématiquement un risque élevé. En l'absence de mesures de sécurité documentées, la responsabilité du gérant est directement engagée — y compris pénalement.
Ce qu'un GFI devrait mettre en place au minimum
La bonne nouvelle : un niveau de protection FINMA-compatible n'exige pas un budget de grande banque. Voici les mesures fondamentales, hiérarchisées par priorité, qu'un cabinet de moins de dix personnes devrait déployer dès aujourd'hui :
Authentification multi-facteurs (MFA)
Sur la messagerie (Microsoft 365 / Google Workspace), le VPN, et tous les portails bancaires et CRM. Coût : quasi nul. Impact : élimine ~80 % des risques de compromission de compte.
Sauvegarde chiffrée hors-site avec test mensuel
Règle 3-2-1 : 3 copies, 2 supports, 1 hors-site. Inclure un test de restauration documenté chaque mois. C'est la seule défense effective contre le ransomware.
EDR (Endpoint Detection & Response) sur tous les postes
Un antivirus traditionnel ne détecte plus les attaques modernes. Un EDR (CrowdStrike, SentinelOne, ou équivalent managé) analyse les comportements en temps réel.
Politique de sécurité documentée
Un document d'une à deux pages suffisent pour couvrir : gestion des mots de passe, procédure d'accueil/départ des collaborateurs, classification des données. Obligatoire pour toute inspection FINMA.
Formation anti-phishing annuelle
Une session de 90 minutes par an et un test de simulation de phishing trimestriel. Les cabinets qui forment leur personnel réduisent le taux de clic sur les liens malveillants de 65 % en moyenne.