Solutions Digitales

  • Dimitri Petruschenko
  • Fondateur
  • EAM Resilience Program

« Des critères clairs pour évaluer l’infrastructure IT et la cyber-résilience des gérants ».

Avec le lancement de l’EAM Resilience Program, Dimitri Petruschenko propose une approche structurée et pragmatique pour aider les gérants à se situer sur les plans IT, cyber et organisationnel, à mieux comprendre leurs dépendances et à renforcer la maîtrise de leurs risques dans un écosystème financier de plus en plus interconnecté.

Par Jérôme Sicard

 

Que couvre concrètement votre diagnostic de résilience, et que ne cherche-t-il volontairement pas à mesurer ou auditer ?

L’analyse, qui porte sur l’infrastructure IT et la cybersécurité, se présente comme une évaluation structurée du niveau de maturité de l’organisation. Il se concentre sur la clarté des structures, les responsabilités et les dépendances — et non sur les détails techniques des systèmes.

L’objectif est de positionner la structure sur la plan IT et cyber, de rendre visibles les hypothèses implicites et de documenter de manière compréhensible l’état cible qui est recherché. Le rapport qui en résulte sert de base pour les discussions avec les prestataires IT ainsi que pour les décisions de gouvernance et de conformité.

Les audits techniques ne font volontairement pas partie du périmètre. Aucun test de système n’est réalisé, aucune configuration n’est vérifiée et aucune certification n’est délivrée. L’assessment ne remplace ni un audit réglementaire ni une analyse spécialisée de sécurité informatique. La résilience est donc évaluée sous l’angle organisationnel, pas technique.

Pourquoi les gérants de fortune indépendants constituent-ils aujourd’hui, selon vous, un angle mort du risque opérationnel dans l’écosystème suisse de la gestion de fortune ?

Les GFI occupent une place importante dans la gestion de fortune en Suisse, mais ils ne disposent pas des mêmes ressources que les banques. Ils opèrent avec des équipes plus réduites et des budgets plus limités, alors même qu’ils sont soumis à des exigences réglementaires élevées.

Structurellement, GFI et banques servent les mêmes clients. Les avoirs sont déposés à la banque, mais la relation client est pilotée par le gérant indépendant. Des informations sensibles sont donc traitées des deux côtés, dans des environnements techniques et organisationnels différents.

En cas d’incident cyber chez un gérant, des données en lien direct avec la banque dépositaire peuvent être concernées. Ces risques indirects sont souvent sous-estimés, précisément parce que les systèmes de la banque ne sont pas directement touchés. Pourtant, même sans compromission technique de la banque, les conséquences opérationnelles, réglementaires et réputationnelles existent dans l’environnement client commun.Le risque vient de la combinaison entre base client partagée, forte interconnexion et niveaux de maturité inégaux en matière de sécurité et de gouvernance. Il s’agit d’un risque systémique, pas isolé.

De nombreux gérants dépendent fortement de prestataires IT externes. Où se situent selon vous leurs principaux angles morts, notamment en matière de responsabilités et de dépendances ?

La responsabilité réglementaire reste clairement du côté du GFI, même lorsque des prestations sont externalisées. Les dispositifs d’outsourcing doivent être documentés.

Le principal angle mort ne se situe toutefois pas dans la structure formelle, mais dans la transparence réelle du socle opérationnel. Le marché sait très bien avec quelles banques travaillent les gérants, et les fournisseurs PMS ou CRM sont généralement bien identifiés. En revanche, les prestataires IT et cyber, ceux qui sécurisent les postes de travail, le cloud ou l’architecture de sécurité, sont souvent beaucoup moins visibles.

À part quelques noms connus, il manque souvent une vue d’ensemble structurée. S’ajoute à cela une attente parfois excessive vis-à-vis des prestataires. Tous les partenaires IT ne maîtrisent pas en détail les spécificités réglementaires d’un GFI. La technique fonctionne, mais le conseil stratégique n’est pas toujours au niveau attendu. Le risque provient donc moins d’un manque de règles que d’un déficit de transparence et d’une capacité de pilotage parfois surestimée vis-à-vis des partenaires externes.

Votre programme met l’accent sur les structures, les processus et les responsabilités plutôt que sur les contrôles techniques. Pourquoi ce choix délibéré d’une approche qui ne soit pas technique ?

Ce choix est volontaire, car la compétence clé d’un gérant réside dans la relation client et la gestion de portefeuille, pas dans l’IT ou la cybersécurité. Or les exigences réglementaires et les dépendances technologiques sont devenues beaucoup plus complexes. Les aspects techniques sont en général gérés par des prestataires, tandis que les décisions stratégiques relèvent du management. Il manque souvent une interface claire entre la couche technique et le pilotage opérationnelle.

L’approche non technique crée précisément ce pont. Elle fournit une base structurée pour replacer les questions IT et résilience dans le contexte du modèle d’affaires. Il ne s’agit pas de paramètres de configuration, mais de responsabilités, de dépendances et de priorités stratégiques. Les audits techniques sont utiles, mais sans cette traduction vers le niveau business, ils restent isolés et ont peu d’impact stratégique.

Quelles décisions concrètes un GFI doit-il pouvoir prendre après cet assessment ? Peut-il changer sa manière de sélectionner ou de piloter ses prestataires IT ?

L’assessment évalue l’infrastructure IT et la cyber-résilience de l’EAM selon des critères clairs : taille de l’organisation, exigences réglementaires, niveau de digitalisation, politique d’équipement, sécurité, conformité et modèle opérationnel. Les enseignements obtenus servent d’abord de base de décision. Ils permettent d’évaluer plus lucidement les dépendances et de définir clairement des priorités.

Vis-à-vis des prestataires IT, la base de dialogue évolue nettement. Le gérant peut formuler ses exigences plus facilement, questionner certaines hypothèses et comparer les fournisseurs de façon plus structurée. Il ne s’agit pas de remettre systématiquement en cause les partenaires existants, mais de piloter la relation de manière plus transparente et plus professionnelle. Le résultat n’est pas une liste de mesures techniques, mais un pilotage plus conscient, et stratégiquement fondé, du modèle opérationnel.

Vous présentez la résilience opérationnelle comme un sujet qui dépasse le cadre de l’entreprise. Comment les faiblesses d’un gérant peuvent-elles devenir un risque pour les banques dépositaires et leurs partenaires ?

Un GFI est juridiquement indépendant, mais fonctionne au quotidien en étroite interaction avec les banques et ses prestataires. Les banques étant soumises à des exigences strictes en matière de risques liés aux tiers, toute faiblesse structurelle chez un gérant — en IT ou en gouvernance — peut se traduire pour elles par un risque indirect, qu’il soit réputationnel, opérationnel ou lié à leur propre dispositif de contrôle des risques.

Gérants et banques servent les mêmes clients. En cas de faiblesse organisationnelle ou d’incident chez le gérant, on observe en pratique une hausse des efforts de coordination, de communication réglementaire et de surveillance côté banque. La résilience ne s’arrête donc pas aux frontières d’une organisation. Dans un marché interconnecté, la stabilité de chaque acteur contribue à la stabilité de l’ensemble de la chaîne de valeur. Le EAM Resilience Program s’inscrit comme une contribution structurée à cette transparence et à cette clarté organisationnelle.

La pression pour renforcer la résilience opérationnelle des EAM va-t-elle désormais provenir davantage du régulateur ou du marché — notamment des banques partenaires ?

Le Risk Monitor 2025 de la FINMA montre clairement que les cyber-risques, l’outsourcing et, en particulier, les risques liés aux tiers figurent au premier plan des préoccupations. Des attentes claires existent déjà quant à la gestion des activités externalisées et des risques opérationnels. La transparence, une documentation rigoureuse et des structures de gouvernance traçables deviennent progressivement la norme.

Parallèlement, une pression supplémentaire émane du marché lui-même. Les banques et autres partenaires sont soumis à des exigences croissantes en matière de gestion des tiers et répercutent ces attentes tout au long de la chaîne de valeur. En pratique, cette dynamique de marché agit souvent plus rapidement que les ajustements réglementaires formels.

Il est tout à fait envisageable que cette évolution se traduise, à moyen terme, par des standards minimaux plus concrets en matière de sécurité IT et cyber — par exemple à travers des preuves standardisées ou des certifications appliquées à l’ensemble de la chaîne de valeur. Cela renforcerait non seulement les exigences pesant sur les gérants externes, mais aussi sur les fournisseurs technologiques et les autres prestataires. 

Dimitri Petruschenko

EAM Resilience Program

Ancien fondateur et associé gérant de EAM.Technology, une société spécialisée dans le conseil et les services opérationnels externalisés, Dimitri Petruschenko a plus de quinze ans d’expérience dans l’environnement technologique propre au secteur financier. Durant son parcours, il a été amené à travailler plus particulièrement pour des banques privées, des gestionnaires de fortune indépendants et des family offices. Avant de lancer EAM.Technology, il a occupé différents postes de direction chez des fournisseurs suisses de solutions logicielles destinées aux secteurs du wealth management et de l’asset management.

    Vous aimerez aussi

    LEADERS
    Watchmen

    Watchmen

    Mathias Baitan
    Institut Supérieur de Formation Bancaire
    « La question des compétences est devenue stratégique pour l’ensemble du secteur ».

    Read More

    Mar 11, 2026 | 7 min read

    LEADERS
    Direction

    Direction

    Jérôme Koechlin
    Leadership Management International
    “Le leadership moderne n’est plus un leadership d’autorité, mais un leadership d’adhésion”

    Read More

    Mar 1, 2026 | 6 min read

    LEADERS
    SPHERE LAB

    SPHERE LAB

    Adrian Cayarga
    SPHERE LAB
    « Les smart wallets ne constituent peut-être pas une rupture spectaculaire, mais une évolution structurelle. »

    Read More

    Fév 18, 2026 | 5 min read

    SOLUTIONS EAM
    Reprise

    Reprise

    Peter Schweighofer
    Red Speics
    « Pour qu’une transmission fonctionne, il faut accepter que l’entreprise évolue. »

    Read More

    Mar 30, 2026 | 6 min read

    Sphere

    The Swiss Financial Arena

    Depuis sa création en 2016, SPHERE anime la communauté des pairs de la finance suisse. Elle leur propose en français et en allemand différents espaces d’échange avec un magazine, des hors-série réservés aux Institutionnels, un site web et des évènements organisés tout au long de l’année pour aborder de nombreuses thématiques. Toutes les parties prenantes de la finance, l’un des plus importants secteurs économiques de Suisse, ont ainsi à leur disposition une plateforme où il leur est possible d’échanger, de s’informer et de progresser.
    La Newsletter SPHERE - télécharger le Mediakit 2025

    RÉDACTION
    redaction[at]sphere.swiss

    PUBLICITÉ
    advertise[at]sphere.swiss

    ABONNEMENT
    contact[at]sphere.swiss

    ÉVÉNEMENTS
    events[at]sphere.swiss

    Politique de confidentialité

    Case postale 1806
    CH-1211 Genève 1

    P +41 22 566 17 32

    © 2023 Sphere Magazine

    Site réalisé par Swiss House of Brands