Les cyberrisques FINMA & gestionnaires indépendants, quel avenir ?

Auteur
Felipe Nogeira
Thématique
Cybercriminalité et nouvelle technologie

Les gérants de fonds indépendants, les tiers gérants et gérants externes en Suisse vont‑ils devoir, dans un avenir proche, se mettre aux normes de la cyber sécurité de la FINMA

Les normes FINMA sur la cybercriminalité sont connues. Les organes qui doivent s’y soumettre sont connus 1Circulaire 2008/21 Risques opérationnels – banques Exigences de fonds propres et exigences qualitatives relatives aux risques opérationnels dans le secteur bancaire, dernière révision 31.10.2019 , à savoir :

  • Les banques
  • Les groupes et conglomérats financiers
  • Les négociants en valeurs mobilières

Les tiers-gérants et GFI suisses ne sont, en principe pas, encore sous l’obligation de cette ordonnance. On peut toutefois légitimement se poser la question de savoir si, la plupart des circonstances et conditions décrites par la FINMA 2Annexe 2 de la communication de la FINMA sur la surveillance du 7 mai 2020 en page 7 , ne font pas partie du quotidien des GFI, tiers-gérants et gérants externes en Suisse.

En effet, la FINMA qualifie d’« actifs d’importance critique et susceptibles d’être l’objet d’attaque de cybercriminels », entre autres :

  • Les informations sensibles / confidentielles, les données d’identification de clients, les contrats d’assurance, les données liées au règlement des sinistres ou le traitement des prestations, procès-verbaux du CA ou de la direction, informations sur la stratégie, données RH, etc.
  • Les collaborateurs assumant des fonctions d’importance critique ou y contribuant de manière essentielle, tels que la direction, les négociants, les conseillers clients, etc. ainsi que les collaborateurs clés (par ex. ceux ayant des droits accrus, les administrateurs systèmes, le personnel de sécurité, comptabilité, etc.).
  • L’infrastructure technologique nécessaire à une fonction d’importance critique (par ex. hardware, logiciel, infrastructure réseau, etc.).

On peut dès lors se demander si les GFI, tiers gérants et gérants externes suisses ne représentent pas le fameux « maillon faible du secteur », évoqué par M. Branson patron de la FINMA 3https://www.allnews.ch/content/r%C3%A9glementation/cyberattaques-risque-n1-pour-les-banques-selon-la-finma . Ce dernier considère que « …les établissements helvétiques sont bien équipés pour résister aux cybercriminels, mais rappelle que l’efficacité d’un système de défense se mesure à son maillon le plus faible et invite les acteurs de la branche à redoubler d’efforts dans ce domaine ».

Lors d’une conférence de presse à Berne, le 27 mars 2018, ce même Mark Branson annonçait que « les cyberattaques étaient devenues le principal risque opérationnel pour le système financier » et que les risques ne faisaient qu’augmenter en suivant parallèlement le monde de la numérisation ».

Il déclarait aussi que les banques suisses étaient déjà à pied d’œuvre pour y faire face et que celles-ci étaient victime de plus d’une centaine d’attaque journalière par le logiciel malveillant « RETEFE » 4https://www.reuters.com/article/us-swiss-finma/cyber-attacks-biggest-risk-for-swiss-banks-watchdog-idUSKBN1H30TM . Qu’en est-il des GFI et tiers-gérants ? Leurs logiciels de consolidation de comptes de clients, leurs systèmes de passation d’ordre de bourse aux banques dépositaires, leurs systèmes de stockage des « données clients », leurs serveurs sont-ils aussi sûrs et bien défendus que ce qui équipe les 248 banques encore répertoriées en Suisse ? Poser la question, c’est y répondre…  

Depuis le début des années 2010, le lobby de l’industrie bancaire a essayé d’affaiblir les GFI, tiers-gérants et gérants indépendants en pressant la FINMA de sur-réglementer cette profession, considérée comme concurrente à celle des banques.

Fin 2010, les gérants de fortune indépendants («GFI») géraient quelque CHF 375 milliards, soit 13% des avoirs sous gestion en Suisse 5Etude conjointe de l’Association suisse des banquiers et du Boston Consulting Group sur la place bancaire suisse, Septembre 2011, page 47 .

La cybercriminalité et la mise en place nécessaire de mesures de protection efficaces pourraient sonner le glas des petits GIF et tiers gérants, déjà considérablement éprouvé par les changements réglementaires LSFIN et LEFIN survenus ces cinq dernières années. La consolidation déjà constatée du marché des GFI cherchant rapidement à mutualiser des coûts administratifs supplémentaires, cette consolidation devrait logiquement encore s’accélérer. Il est évident que les coûts d’adaptation à la prévention de la cybercriminalité devraient être très élevés pour les GFI de petite taille et traditionnels et ne pas permettre la poursuite de l’activité comme jusqu’à présent. Fin 2010, la majeure partie (env. 80%) des quelque 2600 GFI emploient moins de cinq collaborateurs, beaucoup étaient même des entreprises unipersonnelles 6Ref. 5 . Ils seraient aujourd’hui environ 2’500 gérants indépendants, dont 90% sont de toutes petites structures comptant d’une à cinq personnes 7https://www.allnews.ch/content/interviews/ces-gfi-qui-tirent-leur-r%C3%A9v%C3%A9rence . Ces chiffres sont difficiles à vérifier et aucune nouvelle enquête et inventaire complet n’a été fait par la branche depuis l’étude publiée par Boston Consulting et l’Association des banquiers suisses…

Le rapport annuel 2018 de la FINMA 8Rapport annuel FINMA 2018, décembre 2018, page 84 indique que le surveillant des marchés financiers devait, il y a deux ans, autoriser quelque 2500 GFI durant les trois ans de période transitoire qui suivent la mise en vigueur de LSFIN et LEFIN.

LEFIN impose aux GFI d’adapter leur organisation et de se doter d’un conseil d’administration exerçant la surveillance sur la direction opérationnelle. Toutefois, LEFIN permettra aussi à de «petits» gestionnaires de bénéficier de règles de minimas qui leur permettent de maintenir un seul et même organe, notamment quand leur chiffre d’affaires est inférieur à 2 millions de francs et quand leur « business model » ne présente pas « de risques élevés »…. Là encore, tout est une question d’appréciation….

Les avis sont divergents, mais nous pensons malgré tout que le nombre de GFI et tiers-gérants à considérablement diminué en Suisse depuis 2011. Chantal Mathez écrivait le 14 septembre 2015 dans Bilan : « Depuis deux ans, près de 500 gérants de fortune indépendants ont mis la clé sous la porte en Suisse. Beaucoup sont partis à la retraite. D’autres ont fusionné. Certains ont simplement cessé leur activité, notamment ceux qui détenaient en majorité une clientèle française non déclarée » 9https://www.bilan.ch/finance/quel_avenir_pour_les_tiers_gerants_

Nous nous référions plus haut aux 248 banques encore répertoriées en Suisse en 2018.  Le rapport annuel 2018 de la BNS sur les banques en Suisse paru en juin 2019 10https://www.snb.ch/fr/mmr/reference/banks_2018/source/banks_2018.fr.pdf est très complet et analyse le marché bancaire en Suisse par catégorie de banques. On peut y lire que sur ces 248 banques, seulement 216 ont dégagé un bénéfice collectif de 12,8 milliards et 32 ont subi une perte cumulée de 1,3 milliard. En 2017, sur 253 banques, 229 avaient dégagé un bénéfice de 10,3 milliards et 24 avaient subi une perte de 500 millions. Entre 2017 et 2018, on observe une augmentation du nombre de banques en situation clairement déficitaire, soit 34 au lieu de 24. Elles accusent une perte cumulée de 1,7 milliard, plus de trois fois supérieure à celle de 500 millions subie en 2017.

Pouvons-nous extrapoler les statistiques bancaires pour nous donner une idée de ce qui a eu lieu dans la gestion de fortune indépendante ? Certainement. Inévitablement, la pression sur les marges bénéficiaires s’est fait sentir à tous les étages et va continuer de s’accroître. Un des facteurs qui devrait fortement contribuer à l’augmentation de cette pression sur les GFI est le coût futur et probable, lié à la mise en conformité des GIF aux exigences de la FINMA en termes de cybercriminalité.

Seuls les GFI de plus grande taille, professionnels et spécialisés, pourront profiter de la croissance du marché et gagner des parts de ce marché.

Très concrètement, pour s’équiper de façon convenable et minimum en termes de cybercriminalité aujourd’hui, un GIF devrait y consacrer annuellement une somme au‑delà du demi-million de francs, entre le logiciel de consolidation, l’audit externe du système informatique, l’externalisation des serveurs, la protection du ou des serveurs, leur manutention, la prime d’assurance RC, la prime d’assurance pour la couverture des risques liés à la cybercriminalité, les divers « stress tests » à effectuer… Il est dès lors mathématique de constater que la structure du GIF à l’ancienne dont nous parlions plus avant (90% sont de toutes petites structures comptant d’une à cinq personnes) ne pourra pas faire face…

La marge bénéficiaire des banques en Suisse s’est réduite de 19 points de base en dix ans, à 88 points de base 11Le Temps du 5 mai 2020, citant Anna Zarzewski du Boston Consulting Group . La marge des GFI a, logiquement, suivi cette tendance, voir peut-être même subi une dégradation et érosion de marge encore plus importante.

Le modèle du GFI et du tiers-gérant « à papa » est mis sous pression. Les effets conjugués de la hausse des réglementations et des frais, de la réduction des marges et de la difficulté à se projeter dans la révolution technologique nécessaire à une prévention efficace de la cybercriminalité annoncent une révolution de business model.

En conclusion, nous dirons que, bien plus que l’indépendance, la survie aura désormais un prix et comportera certains risques. La mise en place de solutions efficaces et modernes de gestion des risques liés à la cybercriminalité nécessitera une mutualisation des coûts et une consolidation rapide et effective du secteur des GFI. Dans l’environnement actuel, quelques gérants de fortune indépendants l’ont compris, d’autres jouent encore la montre. Pourtant, les contrôles et les exigences en termes de prévention de la cybercriminalité à l’égard des GFI et tiers-gérants vont devenir plus rigoureux, inévitablement. Car pour l’heure, à part, encore une fois, pour les plus gros acteurs du secteur (souvent les mieux organisés) il n’existe aucune réelle protection du client, des données du client et des avoirs du client.