Que couvre concrètement votre diagnostic de résilience, et que ne cherche-t-il volontairement pas à mesurer ou auditer ?

L’analyse, qui porte sur l’infrastructure IT et la cybersécurité, se présente comme une évaluation structurée du niveau de maturité de l’organisation. Il se concentre sur la clarté des structures, les responsabilités et les dépendances — et non sur les détails techniques des systèmes.

L’objectif est de positionner la structure sur la plan IT et cyber, de rendre visibles les hypothèses implicites et de documenter de manière compréhensible l’état cible qui est recherché. Le rapport qui en résulte sert de base pour les discussions avec les prestataires IT ainsi que pour les décisions de gouvernance et de conformité.

Les audits techniques ne font volontairement pas partie du périmètre. Aucun test de système n’est réalisé, aucune configuration n’est vérifiée et aucune certification n’est délivrée. L’assessment ne remplace ni un audit réglementaire ni une analyse spécialisée de sécurité informatique. La résilience est donc évaluée sous l’angle organisationnel, pas technique.

Pourquoi les gérants de fortune indépendants constituent-ils aujourd’hui, selon vous, un angle mort du risque opérationnel dans l’écosystème suisse de la gestion de fortune ?

Les GFI occupent une place importante dans la gestion de fortune en Suisse, mais ils ne disposent pas des mêmes ressources que les banques. Ils opèrent avec des équipes plus réduites et des budgets plus limités, alors même qu’ils sont soumis à des exigences réglementaires élevées.

Structurellement, GFI et banques servent les mêmes clients. Les avoirs sont déposés à la banque, mais la relation client est pilotée par le gérant indépendant. Des informations sensibles sont donc traitées des deux côtés, dans des environnements techniques et organisationnels différents.

En cas d’incident cyber chez un gérant, des données en lien direct avec la banque dépositaire peuvent être concernées. Ces risques indirects sont souvent sous-estimés, précisément parce que les systèmes de la banque ne sont pas directement touchés. Pourtant, même sans compromission technique de la banque, les conséquences opérationnelles, réglementaires et réputationnelles existent dans l’environnement client commun.Le risque vient de la combinaison entre base client partagée, forte interconnexion et niveaux de maturité inégaux en matière de sécurité et de gouvernance. Il s’agit d’un risque systémique, pas isolé.

De nombreux gérants dépendent fortement de prestataires IT externes. Où se situent selon vous leurs principaux angles morts, notamment en matière de responsabilités et de dépendances ?

La responsabilité réglementaire reste clairement du côté du GFI, même lorsque des prestations sont externalisées. Les dispositifs d’outsourcing doivent être documentés.

Le principal angle mort ne se situe toutefois pas dans la structure formelle, mais dans la transparence réelle du socle opérationnel. Le marché sait très bien avec quelles banques travaillent les gérants, et les fournisseurs PMS ou CRM sont généralement bien identifiés. En revanche, les prestataires IT et cyber, ceux qui sécurisent les postes de travail, le cloud ou l’architecture de sécurité, sont souvent beaucoup moins visibles.

À part quelques noms connus, il manque souvent une vue d’ensemble structurée. S’ajoute à cela une attente parfois excessive vis-à-vis des prestataires. Tous les partenaires IT ne maîtrisent pas en détail les spécificités réglementaires d’un GFI. La technique fonctionne, mais le conseil stratégique n’est pas toujours au niveau attendu. Le risque provient donc moins d’un manque de règles que d’un déficit de transparence et d’une capacité de pilotage parfois surestimée vis-à-vis des partenaires externes.

Votre programme met l’accent sur les structures, les processus et les responsabilités plutôt que sur les contrôles techniques. Pourquoi ce choix délibéré d’une approche qui ne soit pas technique ?

Ce choix est volontaire, car la compétence clé d’un gérant réside dans la relation client et la gestion de portefeuille, pas dans l’IT ou la cybersécurité. Or les exigences réglementaires et les dépendances technologiques sont devenues beaucoup plus complexes. Les aspects techniques sont en général gérés par des prestataires, tandis que les décisions stratégiques relèvent du management. Il manque souvent une interface claire entre la couche technique et le pilotage opérationnelle.

L’approche non technique crée précisément ce pont. Elle fournit une base structurée pour replacer les questions IT et résilience dans le contexte du modèle d’affaires. Il ne s’agit pas de paramètres de configuration, mais de responsabilités, de dépendances et de priorités stratégiques. Les audits techniques sont utiles, mais sans cette traduction vers le niveau business, ils restent isolés et ont peu d’impact stratégique.

Quelles décisions concrètes un GFI doit-il pouvoir prendre après cet assessment ? Peut-il changer sa manière de sélectionner ou de piloter ses prestataires IT ?

L’assessment évalue l’infrastructure IT et la cyber-résilience de l’EAM selon des critères clairs : taille de l’organisation, exigences réglementaires, niveau de digitalisation, politique d’équipement, sécurité, conformité et modèle opérationnel. Les enseignements obtenus servent d’abord de base de décision. Ils permettent d’évaluer plus lucidement les dépendances et de définir clairement des priorités.

Vis-à-vis des prestataires IT, la base de dialogue évolue nettement. Le gérant peut formuler ses exigences plus facilement, questionner certaines hypothèses et comparer les fournisseurs de façon plus structurée. Il ne s’agit pas de remettre systématiquement en cause les partenaires existants, mais de piloter la relation de manière plus transparente et plus professionnelle. Le résultat n’est pas une liste de mesures techniques, mais un pilotage plus conscient, et stratégiquement fondé, du modèle opérationnel.

Vous présentez la résilience opérationnelle comme un sujet qui dépasse le cadre de l’entreprise. Comment les faiblesses d’un gérant peuvent-elles devenir un risque pour les banques dépositaires et leurs partenaires ?

Un GFI est juridiquement indépendant, mais fonctionne au quotidien en étroite interaction avec les banques et ses prestataires. Les banques étant soumises à des exigences strictes en matière de risques liés aux tiers, toute faiblesse structurelle chez un gérant — en IT ou en gouvernance — peut se traduire pour elles par un risque indirect, qu’il soit réputationnel, opérationnel ou lié à leur propre dispositif de contrôle des risques.

Gérants et banques servent les mêmes clients. En cas de faiblesse organisationnelle ou d’incident chez le gérant, on observe en pratique une hausse des efforts de coordination, de communication réglementaire et de surveillance côté banque. La résilience ne s’arrête donc pas aux frontières d’une organisation. Dans un marché interconnecté, la stabilité de chaque acteur contribue à la stabilité de l’ensemble de la chaîne de valeur. Le EAM Resilience Program s’inscrit comme une contribution structurée à cette transparence et à cette clarté organisationnelle.

Dimitri Petruschenko

Petruschenko Consulting

Ancien fondateur et associé gérant de EAM.Technology, une société spécialisée dans le conseil et les services opérationnels externalisés, Dimitri Petruschenko a plus de quinze ans d’expérience dans l’environnement technologique propre au secteur financier. Durant son parcours, il a été amené à travailler plus particulièrement pour des banques privées, des gestionnaires de fortune indépendants et des family offices. Avant de lancer EAM.Technology, il a occupé différents postes de direction chez des fournisseurs suisses de solutions logicielles destinées aux secteurs du wealth management et de l’asset management.