Article Comment mettre en œuvre un plan de sécurité informatique dans la gestion du patrimoine
Par Insight Editor / 1 Jun 2018
Le secteur de la gestion de patrimoine est confronté à d’importantes menaces en matière de cybersécurité, en particulier en ce qui concerne la perte ou l’exposition des données des clients, tels que les renseignements personnels identifiables, les transferts illicites et le vol du bien des clients. Cependant, bien que la protection contre les cybermenaces soit vitale, les gestionnaires de patrimoine sont soumis à des pressions croissantes du marché qui réduisent la rentabilité et provoquent des réductions financières opérationnelles.
La sécurité informatique figure parmi les lacunes constatées. De nombreuses sociétés de gestion de patrimoine ont des systèmes de sécurité de l’information limités et relativement désuets. En fait, ils sont en retard à la fois par rapport aux normes de sécurité actuelles et à la défense contre les cybermenaces émergentes.
Subir l’assaut de ces menaces peut être fatal. Outre le coût élevé de récupération opérationnel — qui entraîne des pénalités de la part du gouvernement, l’indemnisation des clients et la mise en place d’un système de sécurité informatique acceptable après coup —, il y a la perte de réputation dans l’industrie et sur le marché. La mise en œuvre d’un plan de sécurité informatique robuste dans votre société de gestion de patrimoine devrait donc être une question d’urgence.
Pourquoi les gestionnaires de patrimoine devraient-ils se concentrer sur la sécurité ?
Une sécurité informatique médiocre coûte cher
Bien que la sécurisation des actifs d’information de votre société de gestion de patrimoine soit une entreprise coûteuse, le coût direct d’être victime de la cybercriminalité est beaucoup plus élevé. Le coût moyen total de la cybercriminalité (toutes industries confondues) s’élève à 11,7 millions de dollars en 2017 (après une hausse de 22,7 % depuis 2016).
Toutefois, le coût moyen de la cybercriminalité pour le secteur des services financiers est beaucoup plus élevé. Selon Chris Thompson d’Accenture, « Le coût annuel moyen des cyberattaques pour les sociétés de services financiers est de [presque] 20 millions de dollars. » En effet, le coût de la cybercriminalité pour les entreprises de services financiers est supérieur de près de 70 % à celui des entreprises en général.
Si votre société de gestion de patrimoine est touchée par des activités cybercriminelles, vous devrez assumer les coûts directs de la récupération après l’attaque, ainsi qu’une série de coûts connexes allant de pénalités à l’indemnisation des clients. La mise en œuvre d’un plan de sécurité informatique dès aujourd’hui vous protégera de ces risques et vous épargnera des coûts imprévus.
Votre réputation compte
Outre le coût monétaire, le fait d’être victime de la cybercriminalité peut être fatal à votre réputation dans l’industrie de la gestion de patrimoine. Des facteurs indépendants de votre volonté, comme les taux d’intérêt, exercent déjà des pressions sur vous, mais la perte de clients en raison d’un mauvais dossier de sécurité vous privera de sources de revenus durables.
Il s’agit d’un problème grave en raison de la dépendance importante — et croissante — de l’industrie des services financiers à l’égard des données sur les clients pour la personnalisation et les services à valeur ajoutée. D’autre part, la fuite de renseignements personnels est le secteur d’activités illicites le plus coûteux de la cybercriminalité : les données de vos clients sont un actif important et donc votre principale responsabilité en matière de sécurité : un secteur des plus coûteux à réparer.
Si votre sécurité est suspecte ou perçue comme insuffisante, les clients ne transmettront pas leurs renseignements personnels à votre société de gestion de patrimoine. Selon PwC, 85 % des consommateurs américains ont déclaré qu’ils « ne feraient pas affaire avec une entreprise s’ils avaient des préoccupations au sujet de ses pratiques de sécurité ». Ainsi, se remettre d’une attaque cybercriminelle n’assure pas le succès : il est préférable d’anticiper les risques pour votre sécurité et de vous protéger à l’avance.
N’oubliez pas les règlements et les lois
Des mesures de sécurité informatique inadéquates pourraient entraîner des sanctions gouvernementales à la suite d’une infraction. Certains pays sont devenus proactifs et ont imposé des exigences de conformité strictes.
Le secteur bancaire dépense déjà 270 milliards de dollars (environ 10 % de ses frais d’exploitation) pour se conformer à la réglementation gouvernementale. La non-conformité comporte le risque de sanctions très coûteuses non seulement dans votre pays, mais aussi à l’étranger.
Le règlement général sur la protection des données de l’Union européenne (UE) (RGPD) est l’exemple le plus remarquable de cette question. Le RGPD est entré en vigueur en mai 2018 et exige que vous renforciez considérablement la collecte, le traitement et la gestion de vos données (en particulier celles relatives aux citoyens de l’UE).
Elle s’applique à toutes les entités qui gèrent les données relatives aux citoyens de l’UE, y compris les entreprises établies en dehors de l’UE. L’UE impose une pénalité allant jusqu’à 4 % de votre revenu global pour chaque violation du RGPD. Vous pourriez également faire l’objet d’une poursuite civile pour non-respect du RGPD : au jour un après la promulgation du RGPD, Google et Facebook ont été poursuivis en justice pour une valeur de 8,8 milliards de dollars.
Comment mettre en œuvre un plan de sécurité TI pour la gestion du patrimoine
Votre plan de sécurité des TI est un plan continu
Il est essentiel de comprendre que votre plan de sécurité informatique est un effort continu.
Les environnements de la cybersécurité et de la cybercriminalité évoluent constamment en termes de menaces pour la sécurité, de normes et d’outils de protection contre ces menaces, ainsi que de votre environnement réglementaire.
Cela vous affecte sur au moins deux fronts :
- Tout d’abord, votre société de gestion de patrimoine doit garder actuel son environnement de sécurité informatique afin que votre entreprise puisse s’adapter.
- Deuxièmement, votre technologie, votre formation et vos processus continueront d’évoluer, ce qui nécessite un investissement continu et à long terme.
Votre plan de sécurité informatique n’est pas une acquisition ponctuelle, mais un élément permanent de votre planification opérationnelle et budgétaire.
1. Comprendre votre environnement réglementaire
Il faut d’abord acquérir une compréhension approfondie de votre environnement réglementaire. En plus d’examiner les lois et règlements pertinents dans votre juridiction (y compris l’UE si vous recueillez et conservez des données de l’UE), identifiez vos intervenants en matière de réglementation — c.-à-d. les ministères fédéraux, les organismes d’État et/ou provinciaux, et les entités industrielles auxquelles votre société de gestion de patrimoine est redevable.
2. Identifiez vos actifs
Deuxièmement, identifiez vos actifs. Cela peut inclure le matériel, les logiciels et les services de tiers que vous utilisez dans le cadre de vos activités commerciales. En général, vos actifs passent par vos moyens de communication où interfèrent des menaces de cybersécurité. Les données — y compris les renseignements personnels de vos clients — sont donc un actif à protéger de la cybercriminalité, actif qui transite par vos applications.
3. Identifiez vos menaces
Troisièmement, déterminez correctement les cybermenaces auxquelles votre société de gestion de patrimoine est confrontée. C’est essentiel, car cela déterminera l’issue de vos mesures de sécurité. En général, vos avoirs patrimoniaux et les informations clients sont susceptibles d’être les principales cibles des cybercriminels. Les menaces courantes dans le secteur de la gestion de patrimoine et des services financiers comprennent les logiciels malveillants, les exploits, l’ingénierie sociale et les défaillances dans le maintien des contrôles sur l’accès aux données et autres actifs.
Vous pouvez identifier les menaces internes et externes, auquel cas vous devrez considérer votre plan de sécurité informatique comme un projet holistique qui combine technologie et processus organisationnels conçus pour atténuer les risques. Par exemple, la prévention d’une attaque d’hameçonnage nécessitera à la fois les mesures de protection logicielles comme le chiffrement et l’éducation des employés pour identifier et prévenir correctement la cybercriminalité.
4. Identifiez vos vulnérabilités
Une fois que vous avez terminé la vérification de vos responsabilités, de vos biens et de vos menaces, déterminez vos vulnérabilités. Les vulnérabilités de votre société de gestion de patrimoine en matière de sécurité informatique peuvent se manifester de plusieurs façons. Par exemple, vous pourriez avoir des applications désuètes qui ne répondent pas aux normes de sécurité actuelles, ne disposer que d’une surveillance inadéquate des données et d’une faible sensibilisation et formation des utilisateurs finaux à la gestion des problèmes de sécurité potentiels.
5. Obtenez l’assentiment de l’organisation
Assurez-vous d’avoir l’adhésion complète de l’organisation. Vos parties prenantes internes sont essentielles à la réalisation d’un plan de sécurité informatique efficace. Qu’il s’agisse des cadres qui doivent examiner et approuver le programme ou des utilisateurs finaux internes qui doivent travailler avec le système de sécurité des TI, le succès de votre plan de sécurité des TI dépend de l’acceptation organisationnelle pour fonctionner.
6. Prioriser et sécuriser votre lien le plus faible
Il se peut que vous n’ayez pas les marges financières nécessaires pour combler immédiatement toutes les lacunes en matière de sécurité informatique. Dans ce cas, vous devrez identifier vos plus grandes vulnérabilités et les classer par ordre de priorité. Il peut s’agir d’applications désuètes ou anciennes ou la manière dont vos données sont hébergées : un transfert de vos données vers une solution robuste et digne de confiance d’hébergement infonuagique serait envisageable.
7. Incorporer un système d’intervention en cas d’incident
Bien que vous ayez travaillé à prévenir toutes calamités, vous devrez quand même élaborer un ensemble de réponses aux incidents touchant votre système de sécurité des TI, y compris lors des pires effractions ou brèches. C’est à ce moment qu’il est essentiel de comprendre vos besoins en matière de conformité, car différentes juridictions et différents organismes de l’industrie ont leurs propres exigences en matière de réponse aux cyberattaques. Par exemple, le RGPD exige que vous annonciez publiquement toute atteinte à la protection des données personnelles dans les 72 heures suivant une effraction.
En 2016, Ernst and Young (EY) a déclaré que jusqu’à 35 millions de cyberattaques surviennent chaque année dans les grandes entreprises et organisations. Nous pouvons aisément démontrer qu’une partie importante — sinon la plupart — de ces attaques ont été dirigées contre le secteur des services financiers.
Il ne fait aucun doute que le coût de la cybersécurité est très élevé, mais être victime d’activités cybercriminelles portera un préjudice permanent à la réputation de votre société de gestion de patrimoine. Vous pouvez commencer à éliminer ce risque par un plan de sécurité informatique bien défini dans le cadre de nos services informatiques de gestion de patrimoine.
