Que couvre concrètement votre diagnostic de résilience, et que ne cherche-t-il volontairement pas à mesurer ou auditer ?

L’analyse, qui porte sur l’infrastructure IT et la cybersécurité, se présente comme une évaluation structurée du niveau de maturité de l’organisation. Il se concentre sur la clarté des structures, les responsabilités et les dépendances — et non sur les détails techniques des systèmes.

L’objectif est de positionner la structure sur la plan IT et cyber, de rendre visibles les hypothèses implicites et de documenter de manière compréhensible l’état cible qui est recherché. Le rapport qui en résulte sert de base pour les discussions avec les prestataires IT ainsi que pour les décisions de gouvernance et de conformité.

Les audits techniques ne font volontairement pas partie du périmètre. Aucun test de système n’est réalisé, aucune configuration n’est vérifiée et aucune certification n’est délivrée. L’assessment ne remplace ni un audit réglementaire ni une analyse spécialisée de sécurité informatique. La résilience est donc évaluée sous l’angle organisationnel, pas technique.

Pourquoi les gérants de fortune indépendants constituent-ils aujourd’hui, selon vous, un angle mort du risque opérationnel dans l’écosystème suisse de la gestion de fortune ?

Les GFI occupent une place importante dans la gestion de fortune en Suisse, mais ils ne disposent pas des mêmes ressources que les banques. Ils opèrent avec des équipes plus réduites et des budgets plus limités, alors même qu’ils sont soumis à des exigences réglementaires élevées.

Structurellement, GFI et banques servent les mêmes clients. Les avoirs sont déposés à la banque, mais la relation client est pilotée par le gérant indépendant. Des informations sensibles sont donc traitées des deux côtés, dans des environnements techniques et organisationnels différents.

En cas d’incident cyber chez un gérant, des données en lien direct avec la banque dépositaire peuvent être concernées. Ces risques indirects sont souvent sous-estimés, précisément parce que les systèmes de la banque ne sont pas directement touchés. Pourtant, même sans compromission technique de la banque, les conséquences opérationnelles, réglementaires et réputationnelles existent dans l’environnement client commun.Le risque vient de la combinaison entre base client partagée, forte interconnexion et niveaux de maturité inégaux en matière de sécurité et de gouvernance. Il s’agit d’un risque systémique, pas isolé.

De nombreux gérants dépendent fortement de prestataires IT externes. Où se situent selon vous leurs principaux angles morts, notamment en matière de responsabilités et de dépendances ?

La responsabilité réglementaire reste clairement du côté du GFI, même lorsque des prestations sont externalisées. Les dispositifs d’outsourcing doivent être documentés.

Le principal angle mort ne se situe toutefois pas dans la structure formelle, mais dans la transparence réelle du socle opérationnel. Le marché sait très bien avec quelles banques travaillent les gérants, et les fournisseurs PMS ou CRM sont généralement bien identifiés. En revanche, les prestataires IT et cyber, ceux qui sécurisent les postes de travail, le cloud ou l’architecture de sécurité, sont souvent beaucoup moins visibles.

À part quelques noms connus, il manque souvent une vue d’ensemble structurée. S’ajoute à cela une attente parfois excessive vis-à-vis des prestataires. Tous les partenaires IT ne maîtrisent pas en détail les spécificités réglementaires d’un GFI. La technique fonctionne, mais le conseil stratégique n’est pas toujours au niveau attendu. Le risque provient donc moins d’un manque de règles que d’un déficit de transparence et d’une capacité de pilotage parfois surestimée vis-à-vis des partenaires externes.

Votre programme met l’accent sur les structures, les processus et les responsabilités plutôt que sur les contrôles techniques. Pourquoi ce choix délibéré d’une approche qui ne soit pas technique ?

Ce choix est volontaire, car la compétence clé d’un gérant réside dans la relation client et la gestion de portefeuille, pas dans l’IT ou la cybersécurité. Or les exigences réglementaires et les dépendances technologiques sont devenues beaucoup plus complexes. Les aspects techniques sont en général gérés par des prestataires, tandis que les décisions stratégiques relèvent du management. Il manque souvent une interface claire entre la couche technique et le pilotage opérationnelle.

L’approche non technique crée précisément ce pont. Elle fournit une base structurée pour replacer les questions IT et résilience dans le contexte du modèle d’affaires. Il ne s’agit pas de paramètres de configuration, mais de responsabilités, de dépendances et de priorités stratégiques. Les audits techniques sont utiles, mais sans cette traduction vers le niveau business, ils restent isolés et ont peu d’impact stratégique.

Quelles décisions concrètes un GFI doit-il pouvoir prendre après cet assessment ? Peut-il changer sa manière de sélectionner ou de piloter ses prestataires IT ?

L’assessment évalue l’infrastructure IT et la cyber-résilience de l’EAM selon des critères clairs : taille de l’organisation, exigences réglementaires, niveau de digitalisation, politique d’équipement, sécurité, conformité et modèle opérationnel. Les enseignements obtenus servent d’abord de base de décision. Ils permettent d’évaluer plus lucidement les dépendances et de définir clairement des priorités.

Vis-à-vis des prestataires IT, la base de dialogue évolue nettement. Le gérant peut formuler ses exigences plus facilement, questionner certaines hypothèses et comparer les fournisseurs de façon plus structurée. Il ne s’agit pas de remettre systématiquement en cause les partenaires existants, mais de piloter la relation de manière plus transparente et plus professionnelle. Le résultat n’est pas une liste de mesures techniques, mais un pilotage plus conscient, et stratégiquement fondé, du modèle opérationnel.

Vous présentez la résilience opérationnelle comme un sujet qui dépasse le cadre de l’entreprise. Comment les faiblesses d’un gérant peuvent-elles devenir un risque pour les banques dépositaires et leurs partenaires ?

Un GFI est juridiquement indépendant, mais fonctionne au quotidien en étroite interaction avec les banques et ses prestataires. Les banques étant soumises à des exigences strictes en matière de risques liés aux tiers, toute faiblesse structurelle chez un gérant — en IT ou en gouvernance — peut se traduire pour elles par un risque indirect, qu’il soit réputationnel, opérationnel ou lié à leur propre dispositif de contrôle des risques.

Gérants et banques servent les mêmes clients. En cas de faiblesse organisationnelle ou d’incident chez le gérant, on observe en pratique une hausse des efforts de coordination, de communication réglementaire et de surveillance côté banque. La résilience ne s’arrête donc pas aux frontières d’une organisation. Dans un marché interconnecté, la stabilité de chaque acteur contribue à la stabilité de l’ensemble de la chaîne de valeur. Le EAM Resilience Program s’inscrit comme une contribution structurée à cette transparence et à cette clarté organisationnelle.

La pression pour renforcer la résilience opérationnelle des EAM va-t-elle désormais provenir davantage du régulateur ou du marché — notamment des banques partenaires ?

Le Risk Monitor 2025 de la FINMA montre clairement que les cyber-risques, l’outsourcing et, en particulier, les risques liés aux tiers figurent au premier plan des préoccupations. Des attentes claires existent déjà quant à la gestion des activités externalisées et des risques opérationnels. La transparence, une documentation rigoureuse et des structures de gouvernance traçables deviennent progressivement la norme.

Parallèlement, une pression supplémentaire émane du marché lui-même. Les banques et autres partenaires sont soumis à des exigences croissantes en matière de gestion des tiers et répercutent ces attentes tout au long de la chaîne de valeur. En pratique, cette dynamique de marché agit souvent plus rapidement que les ajustements réglementaires formels.

Il est tout à fait envisageable que cette évolution se traduise, à moyen terme, par des standards minimaux plus concrets en matière de sécurité IT et cyber — par exemple à travers des preuves standardisées ou des certifications appliquées à l’ensemble de la chaîne de valeur. Cela renforcerait non seulement les exigences pesant sur les gérants externes, mais aussi sur les fournisseurs technologiques et les autres prestataires. 

Dimitri Petruschenko

EAM Resilience Program

Ancien fondateur et associé gérant de EAM.Technology, une société spécialisée dans le conseil et les services opérationnels externalisés, Dimitri Petruschenko a plus de quinze ans d’expérience dans l’environnement technologique propre au secteur financier. Durant son parcours, il a été amené à travailler plus particulièrement pour des banques privées, des gestionnaires de fortune indépendants et des family offices. Avant de lancer EAM.Technology, il a occupé différents postes de direction chez des fournisseurs suisses de solutions logicielles destinées aux secteurs du wealth management et de l’asset management.

La transformation numérique du secteur financier s’est nettement accélérée ces dernières années. L’intelligence artifi­cielle s’impose désormais comme un levier majeur de performance, de scalabi­lité et de personnalisation dans la relation client. Tandis que les grandes banques déploient déjà des stratégies numériques à grande échelle, les petites structures doivent composer avec un retard technolo­gique à combler, dans un environnement de plus en plus exigeant sur le plan régle­mentaire et opérationnel. Dans ce contexte, l’IA devient un véritable levier stratégique. Bien utilisée, elle permet d’optimiser les processus clés, de réduire les risques et d’alléger les charges internes. Mais le chemin vers cette intégration reste com­plexe, tant sur le plan technique que régle­mentaire et culturel.

Les gérants indépendants suisses font face en effet à un environnement de plus en plus contraignant. L’introduction de la législation LSFin/LEFin a bouleversé leur cadre régle­mentaire, imposant une obligation d’autori­sation, des exigences en fonds propres et une surveillance continue par la FINMA avec le concours des organismes de supervision. Ces exigences génèrent des coûts récurrents et une charge administra­tive importante, qui pèsent de manière dis­proportionnée sur les structures de petite taille. À cela s’ajoute un retard général en matière de digitalisation – sans parler d’une réelle réflexion sur l’intégration de l’IA. Les capacités internes pour mener à bien des projets technologiques d’enver­gure sont souvent limitées. L’IA n’est donc plus perçue uniquement comme une option technologique, mais bien comme une nécessité stratégique.

Dans la pratique, au quotidien, les cas d’usage de l’IA dans le wealth management sont nom­breux. Ils portent entre autres sur l’automatisation des tâches de confor­mité (KYC, reporting réglementaire, documentation), l’analyse avancée des données de portefeuille, l’appui aux déci­sions d’investissement, ou encore le service client parfois confié à des chat­bots. En matière de compliance, l’IA peut surveiller les règles en vigueur et signa­ler les situations à risque. Intégrée à un CRM, elle permet d’anticiper les risques de départ ou d’identifier des opportuni­tés de vente croisée.

Ces solutions ne se contentent pas d’amé­liorer l’efficience. Quand elles sont bien implémentées, elles rehaussent égale­ment la qualité de service – à condition d’être bien assimilées dans les processus existants.

L’introduction de systèmes basés sur l’IA suppose de relever plusieurs défis. Les données constituent un point de départ crucial. Elles sont souvent fragmentées, non structurées, ou stockées dans des sys­tèmes externes difficilement accessibles. Il faut donc d’abord les nettoyer, les structu­rer et les centraliser. Par ailleurs, les outils existants – portefeuille, conformité, CRM – ne sont pas toujours compatibles avec des modules d’IA et nécessitent des ajuste­ments techniques.

La traçabilité des résultats est un autre enjeu clé. Dans un univers réglementé, les décisions prises par l’IA doivent être com­préhensibles et justifiables, tant pour les conseillers que pour les clients. L’utilisation de services cloud ou de fournisseurs externes exige aussi une vigilance accrue en matière de protection des données, de sécurité informatique et de gouvernance. Cela requiert soit une expertise pointue en interne, soit des partenaires fiables.

En la matière, la FINMA a posé ses pre­mières balises avec sa communication estampillée 08/2024. Elle y affirme quatre principes.

L’institution reste responsable des proces­sus, même assistés par IA.

Les modèles doivent être robustes, basés sur des données fiables et révisées régu­lièrement.

Les résultats doivent être explicables, les approches «boîte noire» étant jugées pro­blématiques.

Le respect des lois sur la protection des données et des standards internationaux est impératif, notamment pour les traite­ments externes.

La FINMA attend aussi une évaluation de l’impact de l’IA sur le profil de risque de l’institution et une adaptation des contrôles internes.

Aujourd’hui, la plupart des éditeurs de PMS intègrent ou développent leur propre assistant IA. Les outils de gestion de por­tefeuille vont bientôt proposer des fonc­tions conversationnelles connectées aux données clients. Les solutions de com­pliance intègrent des modules de veille réglementaire. Les CRM deviennent intel­ligents. Mais cette évolution fragmentée engendre un nouveau risque, celui des silos d’intelligence artificielle.

Chaque solution reste centrée sur son propre périmètre de données. Un assistant IA intégré au PMS n’aura par exemple aucun accès à la correspondance client ou aux documents de compliance. Cette absence de vision holistique limite fortement le potentiel d’automatisation intelligente.

Dans ce contexte, autant envisager un point d’entrée qui soit pragmatique. Beaucoup de gérants utilisent déjà Microsoft 365 comme plateforme de travail. Le Copilot intégré offre un point d’entrée pratique à l’IA, sans refonte majeure du système d’in­formation. Relié à Outlook, Teams, Share­Point ou Excel, il permet de générer du texte, d’extraire de l’information ou de traiter des documents de manière automatisée.

Son principal atout : une intégration fluide dans les processus existants, sans nouvel outil ni interfaçage complexe. De plus, les exigences de sécurité et de conformité peuvent être respectées, notamment si les données sont traitées en Suisse ou dans l’UE.

Des alternatives comparables existent. C’est le cas par exemple de Gemini for Workspace chez Google, ou de ChatGPT Enterprise chez OpenAI, qui peuvent s’in­tégrer aux environnements bureautiques ou collaboratifs déjà en place.

Ces outils permettent aux gérants d’ac­quérir une première expérience avec l’IA dans un cadre familier – avec un effort limité et sans bouleversement IT.

Cependant, mettre en oeuvre une stratégie d’intelligence artificielle ne se résume pas à déployer un outil de plus. Cela suppose d’abord un travail de fond sur les données. Il convient d’identifier les sources disponi­bles, d’en vérifier la qualité, de clarifier les droits d’accès et de s’assurer de leur inte­ropérabilité. Sans cette base consolidée, aucune automatisation pertinente n’est envisageable.

Ensuite, une évaluation rigoureuse des outils IA est nécessaire. Cela implique de comprendre les prérequis techniques de l’environnement de travail existant, mais aussi d’en examiner les implications en matière de sécurité et de confidentialité.

Il est également essentiel d’éviter toute dépendance technologique à un fournis­seur unique. Les solutions retenues doivent pouvoir s’intégrer de manière ouverte avec d’autres systèmes, sans cloisonner les usages ni enfermer l’organisation dans un système clos.

L’approche doit rester progressive. Mieux vaut commencer par des assistants géné­ralistes – par exemple ceux intégrés aux suites bureautiques – avant de connecter, au besoin, des systèmes plus spécialisés comme un PMS ou une plateforme de compliance.

Ce travail d’intégration s’accompagne nécessairement de la mise en place d’une gouvernance claire : il faut définir les règles d’accès aux données, les responsabilités de chacun, et les mécanismes de contrôle.

Enfin, et peut-être surtout, il convient d’im­pliquer les équipes dès les premières étapes. La formation, l’adhésion et la diffu­sion des bonnes pratiques seront les vrais catalyseurs d’un changement pérenne. Une IA bien intégrée, c’est d’abord une organisation qui a su se l’approprier.

Il est évident que les assistants basés sur l’IA deviendront vite des standards dans le wealth management de demain. Pour les gérants indépendants, le choix est clair : prendre ce virage proactivement ou risquer de se retrouver à la traîne.

Mais réussir cette transition exige plus que des outils. Il faut une stratégie claire, des processus solides, une gestion rigoureuse des données et un investissement dans les compétences internes.

Ceux qui posent aujourd’hui ces fondations seront les mieux armés pour intégrer les technologies de demain, quelle que soit la vitesse de transformation du marché.

Car le véritable avantage concurrentiel ne viendra pas de l’outil lui-même – mais de la capacité des organisations à l’intégrer effi­cacement. L’avenir est aux modèles hybri­des, alliant puissance technologique et intelligence humaine. Pour les gérants indépendants, c’est une opportunité unique de renforcer leur position et d’inscrire leur développement dans la durée.

Dimitri Petruschenko

Petruschenko Consulting

Ancien fondateur et associé gérant de EAM.Technology, une société spécialisée dans le conseil et les services opérationnels externalisés, Dimitri Petruschenko a plus de quinze ans d’expérience dans l’environnement technologique propre au secteur financier. Durant son parcours, il a été amené à travailler plus particulièrement pour des banques privées, des gestionnaires de fortune indépendants et des family offices. Avant de lancer EAM.Technology, il a occupé différents postes de direction chez des fournisseurs suisses de solutions logicielles destinées aux secteurs du wealth management et de l’asset management.