Services financiers :
Des spécialistes pour votre cybersécurité

Le secteur financier s’appuie depuis de nombreuses années sur la numérisation pour travailler plus efficacement et améliorer la collaboration. De plus en plus de systèmes sont migrés vers le cloud. Alors que certains acteurs moins réglementés n’en sont encore qu’au début de ce parcours, un point reste essentiel pour tous : la protection des données personnelles et financières sensibles est la priorité absolue. Sans une protection robuste des systèmes informatiques, des conséquences graves peuvent survenir, telles que des interruptions d’exploitation, des fuites de données, des extorsions ou d’importants dommages à la réputation.

Spécialistes en sécurité de l’information pour les prestataires de services financiers

L’équipe spécialisée Finance Consultant de Redguard AG combine expertise sectorielle et savoir-faire en sécurité afin d’apporter une valeur ajoutée efficace et efficiente aux entreprises du secteur financier et des assurances. Nous comprenons les défis actuels du secteur et accompagnons nos clients pour atteindre leurs objectifs en toute sécurité. Outre une vaste expérience pratique, nous disposons de nombreuses formations et certifications, telles que SWIFT, CISA, CISM et CRISC.

Familiarisés avec les défis du secteur financier – Sécurité et protection des données

Grâce à nos spécialistes du secteur, nous connaissons les défis du domaine financier et savons comment vous soutenir de manière pragmatique et globale.

Références sélectionnées sur le sujet

Appréciés par nos clients du secteur financier

Demander une offre

Conseil CISO

Si vous souhaitez renforcer votre organisation de sécurité mais ne disposez actuellement pas de ressources de gestion suffisantes, l’un de nos experts expérimentés peut intervenir comme (Chief) Information Security Officer sur une base de mandat. Il peut agir comme solution temporaire en attendant votre propre CISO, servir de sparring partner à votre CISO actuel ou prendre en charge certains projets spécifiques. Sur demande, le CISO peut également faire appel à d’autres ressources Redguard pour soutenir ponctuellement les projets.

DORA et tests de pénétration dirigés par les menaces

Redguard vous soutient dans l’analyse des écarts pour évaluer votre situation actuelle, la priorisation des domaines d’action identifiés, l’élaboration d’un plan de mise en œuvre global, la réalisation d’un test de pénétration dirigé par les menaces, ainsi que sur les plans méthodologique et opérationnel pour une mise en œuvre efficace des mesures et un soutien en ressources pour un traitement efficient des plans d’action. Voir l’article de blog « Digital Operational Resilience Act (DORA) ».

Évaluation NIST

Redguard réalise avec vous une évaluation basée sur la norme NIST actuelle. Nous proposons également une évaluation basée sur la norme minimale ICT.

Gestion des risques liés aux tiers

Redguard vous accompagne dans l’identification et l’évaluation des prestataires critiques et de leurs sous-traitants, la création de points de contrôle basés sur les risques pour l’ensemble de la chaîne de prestation, la réalisation d’audits de surveillance périodiques et la mise en place d’un suivi et d’un reporting efficaces. Voir l’article de blog « Surveillance des prestataires dans le secteur financier ».

SWIFT

Dans le cadre du programme SWIFT Customer Security Programme (CSP), des évaluations indépendantes doivent être effectuées chaque année pour confirmer la conformité avec le Customer Security Controls Framework (CSCF). Nous vous accompagnons dans la réalisation d’une évaluation externe indépendante et, grâce à notre longue expérience et à la mise à disposition d’auditeurs certifiés, nous pouvons attester de la conformité au CSCF. L’accent est mis sur les contrôles obligatoires, qui doivent impérativement être mis en œuvre.

Exigences de la FINMA

Redguard vous accompagne lors de l’analyse des écarts pour déterminer votre position actuelle, y compris la priorisation des domaines d’action identifiés et la planification globale de la mise en œuvre ; dans l’identification des fonctions critiques et des externalisations ; dans la surveillance des fonctions externalisées et des risques ; dans l’identification des risques liés aux données critiques et la définition de mesures de protection adéquates ; dans la définition des rôles, processus, procédures et contrôles relatifs à la gestion des données critiques ; dans la mise en place d’un reporting de gestion ; dans la sensibilisation du personnel ; dans la réalisation d’audits internes ; dans la création et les tests du plan de gestion de crise (BCM) et de la planification IT Service Continuity Management (ITSCM), ainsi que dans la réalisation de simulations d’attaque ou de tests de pénétration ciblés. Voir l’article de blog sur la circulaire FINMA 2023/1.

Contrôles généraux informatiques (IT General Controls)

Redguard vous aide dans la coordination avec les parties prenantes, l’identification des risques, la conception et la gestion des contrôles clés, la coordination des audits périodiques et le suivi des résultats d’audit. Voir l’article de blog « Défis des IT General Controls dans le secteur financier ».

Sécurité du cloud

Redguard vous assiste en tant que point de contact sécurité (SPOC) pour vos projets de transformation cloud – Modern Workplace – dans la définition et la mise en œuvre de mesures de sécurité dans le contexte Azure / M365, par exemple avec Microsoft Defender ou Purview ; dans la réalisation d’évaluations de sécurité cloud pour identifier les risques de votre configuration actuelle ; dans la définition et l’introduction d’une gouvernance de sécurité cloud ; et dans l’élaboration de concepts de sécurité (par ex. classification, prévention des pertes de données, etc.). Voir l’article de blog « Sécurité du cloud : défis du secteur financier ».

PCI DSS

Forte de l’expérience acquise lors de plus d’un millier de tests de pénétration, Redguard vous aide à déterminer quels systèmes doivent être testés. Ensemble, nous définissons un périmètre trimestriel adapté et planifions les tests de pénétration avec vos spécialistes internes. Les résultats sont consignés dans un rapport détaillé, élaboré efficacement grâce à notre moteur de reporting interne. Pour nos clients de longue date, nous développons des interfaces d’exportation vers les systèmes clients (xls, Jira, etc.). Voir Success Story PostFinance.

Développement logiciel sécurisé

Les banques, compagnies d’assurance, prestataires de paiement et de nombreux autres acteurs financiers développent leurs propres logiciels. Pour garantir leur sécurité et appliquer les principes de « Security by Design », nous proposons des formations sur site avec des exercices pratiques. En complément, nous mettons à votre disposition une large gamme de modules e-learning sur la sécurité destinés à toutes les personnes impliquées dans le développement et la maintenance d’applications web : développeurs, architectes logiciels, chefs de projet, Scrum Masters, ingénieurs DevOps, administrateurs. Nous vous aidons également à optimiser la sécurité de vos conteneurs et de Kubernetes, que ce soit via des formations ou par une analyse de vos systèmes actuels. En outre, nous vous accompagnons dans le domaine du DevSecOps : de la mise en place d’un modèle DevSecOps ou de la revue de votre configuration existante, à l’extension de votre pipeline CI/CD et à la réalisation d’une évaluation OWASP SAMM.

Expérience avec tous les types de prestataires de services financiers

Forts de notre vaste expérience sectorielle, nous conseillons tous types de prestataires de services financiers :

Banques




Assurances


Banques privées

Gestionnaires de fortune

Caisses de pension

Prestataires financiers et de paiement

Projets et références réussis

Nos références incluent notamment :

  • Développement de la méthodologie et du contenu de la gestion des risques ICT pour la CSS (Success Story)
  • Soutien à un prestataire de services informatiques pour les offices AI dans le développement logiciel sécurisé et la protection des données (Success Story)
  • Accompagnement d’une banque avec des tests de pénétration efficaces pour la certification PCI DSS (Success Story)
  • Simulation d’attaque contrôlée sur une banque cantonale (Success Story) et une assurance accidents (Success Story)
  • Tests de pénétration (web, réseau, mobile, systèmes d’accès, installations de verrouillage, etc.)

D’autres références et études de cas du secteur financier sont disponibles sur notre page Références.

Articles de blog sur la sécurité dans le secteur financier

Swift CSP CSCF v2025 – Was Finanzinstitute jetzt wissen müssen Apr 28, 2025

Das Swift Customer Security Programme (CSP) ist für Banken und Finanzinstitute unerlässlich, um ihre IT-Sicherheit auf aktuellem Stand zu halten. Mit der neu veröffentlichten Version des Customer Security Controls Framework (CSCF v2025) kommen Neuerungen auf Sie zu, die besonders für Nutzer von Architekturtyp B (nun A4) relevant sind. In diesem Blogbeitrag erfahren Sie, was sich geändert hat und wie wir Sie als Cybersecurity-Consulting-Unternehmen bei der Einhaltung dieser Vorgaben unterstützen können.

Lire l'article

FINMA: KI – Balanceakt zwischen Chance und Risiko Apr 4, 2025

Im Finanzgeschäft der Schweiz – also im Bereich der Banken und Versicherungen – wird Künstliche Intelligenz immer stärker genutzt. So wird beispielsweise in den Bereichen der Handelsüberwachung, der Fraud Detection, der Kreditrisiko-Beurteilung oder der Geldwäschereibekämpfung auf neue, KI-gestützte Systeme vertraut. Gemäss FINMA Aufsichtsmitteilung 08/2024 erwartet diese «von beaufsichtigten Instituten, die KI einsetzen, dass sie die Auswirkungen dieses Einsatzes auf ihr Risikoprofil aktiv berücksichtigen und ihre Governance, ihr Risikomanagement und ihre Kontrollsysteme entsprechend ausrichten.» Lesen Sie hier, wie Unternehmen diese Entwicklung mitmachen und mitgestalten und Innovation mit den Unternehmensrisiken im Gleichgewicht halten können.

Lire l'article

Cyber Security im FINMA-Risikomonitor 2024 – eine Zusammenfassung Nov 22, 2024

Der FINMA-Risikomonitor 2024 hebt Cyber Security als eines von neun Hauptrisiken hervor – ein Thema, das bereits in der FINMA-Aufsichtsmitteilung 2023/1, eine wichtige Rolle spielte. In unserem Blogbeitrag zur Mitteilung haben wir die zentralen Inhalte verständlich aufbereitet: FINMA-Rundschreiben «2023/1 Operationelle Risiken und Resilienz – Banken»: Jetzt Überblick verschaffen. Nun haben wir uns den Cyber Security-relevanten Abschnitt des aktuellen FINMA-Risikomonitors 2024 genauer angesehen und die wichtigsten Punkte für Sie zusammengefasst.

Lire l'article

KI-Gesetz (AI Act) der EU tritt in Kraft Sep 27, 2024

Der von der Europäischen Union erlassene Artificial Intelligence Act (Verordnung 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) stellt einen wegweisenden Schritt in der Regulierung von AI-Systemen in Europa und darüber hinaus dar. Als einer der ersten umfassenden Versuche, AI zu regeln, legt der AI Act einen Rahmen fest, den Unternehmen, die mit dem EU-Markt interagieren oder dort tätig sind, einhalten müssen. In diesem Blogartikel lernen Sie die wesentlichen Aspekte des AI Acts kennen. Verschaffen Sie sich einen Überblick über die verschiedenen Risikokategorien, die der Act festlegt – und erfahren Sie, ob Ihre Produkte oder Dienstleistungen unter die KI-Verordnung fallen und was dies für Ihr Unternehmen bedeutet.

Lire l'article

Threat-Led Penetration Testing gemäss DORA Jul 24, 2024

In der immer stärker digitalisierten Welt stehen Finanzinstitute vor einer Vielzahl an Herausforderungen. Ein wichtiger Teil davon ist die immer stärker zunehmende Bedrohung vor Cyberangriffen. Um die Resilienz des Finanzsektors gesamtheitlich zu stärken, hat die Europäische Union den sogenannten “Digital Operational Resilience Act” oder kurz “DORA” eingeführt. Eine der Hauptkomponenten von DORA zur Prüfung der Sicherheit von Finanzinstituten ist das Threat-Led Penetration Testing (TLPT). Dies stellt sicher, dass Finanzunternehmen komplexen Cyberbedrohungen nicht nur standhalten, sondern auch entsprechend darauf reagieren und sich davon wieder erholen können.

Lire l'article

Digital Operational Resilience Act (DORA) Jul 19, 2024

In einer zunehmend digitalisierten Welt spielt die Gewährleistung der Betriebssicherheit eine entscheidende Rolle für die Finanzbranche. Der Digital Operational Resilience Act (DORA) stellt einen rechtlichen Rahmen dar, der darauf abzielt, die Widerstandsfähigkeit europäischer Finanzinstitute gegen Cyberangriffe zu stärken. Vom IKT-Risikomanagement bis hin zur Meldung an Behörden – wir werfen einen Blick auf die Schlüsselaspekte von DORA und wie dessen Umsetzung den schweizerischen Finanzmarkt beeinflussen könnte. Erfahren Sie, mit welchen Anforderungen Sie sich vertraut machen sollten und wie unsere Fachleute Sie bei der Implementierung der DORA-Verordnung unterstützen können.

Lire l'article

Finanzbranche: Challenge IT General Controls May 30, 2024

Im Rahmen des IT Risk Managements werden auf Basis identifizierter Risiken adäquate Schutzmassnahmen (Controls) zur Mitigation definiert und implementiert. Durch Outsourcings und Verwendung unterschiedlicher Cloud-Modelle (SaaS, PaaS, IaaS) sind die Verantwortlichkeiten für die verschiedenen Layer je nach Modell unterschiedlich (Shared Responsibility). Somit liegen Risiken sowie mitigierende Massnahmen nicht nur im Verantwortungsbereich des auslagernden Finanzinstituts, sondern auch in dem des beauftragten Dienstleisters. IT General Controls (ITGCs) bilden ein Instrument, um sowohl die eigenen als auch ausgelagerten Risiken mit geeigneten Kontrollen zu adressieren. Was ITGSs sind und warum auch die Überprüfung der Controls wichtig, aber auch herausfordernd ist, erfahren Sie hier.

Lire l'article

FINMA-Rundschreiben «2023/1 Operationelle Risiken und Resilienz – Banken»: Jetzt Überblick verschaffen May 24, 2024

Seit dem 1. Januar 2024 ist das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen Risiken und Resilienz bei Banken in Kraft. Es ersetzt das bisherige Rundschreiben 2008/21 und bringt Neuerungen mit sich, die für Banken und Finanzinstitute von grosser Bedeutung sind. In diesem Beitrag bieten wir Ihnen einen Überblick über die wichtigsten Aspekte des neuen Rundschreibens. Erfahren Sie, wen die neuen Regelungen betreffen, welche Grundsätze im Fokus stehen und welche Massnahmen Sie zur Erhöhung der Resilienz und Sicherheit ergreifen müssen, um dem FINMA-Rundschreiben zu entsprechen.

Lire l'article

Cloud Security: Herausforderung in der Finanzbranche Apr 22, 2024

In der dynamischen Welt der Finanzbranche ist die Nutzung von Cloud-Services ein unverzichtbarer Bestandteil für Innovation und Wettbewerbsfähigkeit. Doch während Cloud-Technologien immer weiter an Bedeutung gewinnen, stehen Finanzinstitute vor einer entscheidenden Herausforderung: die Sicherheit sensibler Daten in der Cloud. Von der Speicherung bis zur Bearbeitung von Kundendaten (CIDs) stellen sich Fragen nach Datenschutz, Zugriffskontrolle und regulatorischer Compliance. Wir fassen die Schlüsselthemen der Cloud-Sicherheit in der Finanzbranche zusammen und zeigen auf, wie Sie eine sichere Nutzung gewährleisten können. Erfahren Sie, wie Redguard als Ihr verlässlicher Partner Ihnen dabei hilft, die Cloud-Sicherheit zu stärken und Ihre Transformation in eine sichere, moderne Arbeitsumgebung zu unterstützen.

Lire l'article

Überwachung eingesetzter Dienstleister in der Finanzbranche Apr 8, 2024

Der zunehmende Einsatz von Dienstleistern in der Wertschöpfungskette und in Unterstützungsprozessen führt zu einer erhöhten Komplexität in der Identifizierung, Bewertung und Überwachung des Risikoportfolios. Oftmals werden für die Dienstleistungserbringung vom primären Vertragsnehmer weitere Subdienstleister beigezogen. Für das Finanzinstitut steigen dadurch Komplexität und Aufwand für das Risikomanagement und die Kontrolle der Einhaltung der Sicherheitsvorgaben. Die Verantwortung für die Sicherheit der Informationen liegt nämlich jederzeit beim Eigentümer der Daten. Somit liegt das Risiko eines Sicherheitsvorfalls und damit einhergehende Schäden bei Ihnen als Finanzinstitut. Auf welche Herausforderungen Sie besonders achten müssen und welche Vorgaben der FINMA Sie in welchem Rundschreiben finden, lesen Sie hier.

Lire l'article