Article Quels sont les risques les plus graves en matière de sécurité informatique pour les gestionnaires de patrimoine en 2018 ?
Par Insight Editor / 27 Jul 2018 / Sujets: Réseaux
Le secteur des services financiers affiche l’un des taux les plus élevés de dépenses de recouvrement de la cybercriminalité, après les secteurs de l’énergie et des services publics et de la défense et l’aérospatiale.
Toutefois, les gestionnaires de patrimoine et d’actifs font partie de la vaste gamme de services financiers et, avec moins de ressources en matière d’information numérique et de sécurité des TI, ils font face à bon nombre des mêmes menaces que leurs cousins de l’industrie de plus grande taille.
Selon PwC (PricewaterhouseCoopers), cela s’explique par le fait que les gestionnaires de patrimoine détiennent un ensemble d’informations très précieuses, notamment les informations personnellement identifiables (IPI) des clients, l’accès aux informations financières et aux actifs financiers et d’autres domaines attirant la criminalité.
Bien qu’ils soient différents des banques, des sociétés d’investissement ou des agences d’assurance, les gestionnaires de patrimoine doivent faire face aux mêmes types de menaces, mais avec moins de ressources.
Une violation de données pourrait entraîner des sanctions réglementaires et, potentiellement, une perte fatale de réputation. Dans un environnement opérationnel difficile, de tels risques pourraient effectivement mettre fin à une société de gestion de patrimoine.
La sécurisation de votre société de gestion de patrimoine commence par la compréhension des risques de cybersécurité les plus sévères qui pèsent sur vos opérations. Nous avons compilé plus bas un aperçu des risques en matière de cybersécurité ou de TI dont vous devrez vous préoccuper en 2018 et au-delà.
1. Cyberattaques
Selon EY (Ernst & Young), on estime que les « grandes organisations » — y compris les sociétés de services financiers — subissent collectivement 35 millions de cyberattaques par an. De plus, ces entreprises ont également du mal à détecter les attaques (selon EY, il faut 200 jours à ces entreprises pour détecter les cibles).
Cela s’explique en partie par la nature de plus en plus complexe de ces attaques, qui s’appuient désormais sur toute une série de nouveaux points d’entrée, tels que les appareils mobiles et les médias sociaux. EY déclare que « les entreprises… tentent de s’adapter au rythme des vecteurs de menace avec des ressources limitées. »
Les cyberattaques prennent plusieurs formes. Par exemple, une attaque de l’homme-au-milieu (Man in the Middle ou MitM) commence par la compromission de votre système informatique. Ensuite, les pirates interceptent et retransmettent les données cryptées — telles que les IPI des clients — vers leur(s) propre(s) serveur(s) avant que ces informations arrivent à leurs utilisateurs légitimes.
Selon Deloitte, les cyberattaques peuvent entraîner de nombreuses pertes, y compris l’autorité sur les adresses IP et les données des clients (y compris les IPI), et la fuite potentielle de ces données à des tiers.
Pour les gestionnaires de patrimoine, ces risques sont particulièrement pressants. En 2015, la Securities and Exchange Commission (SEC) des États-Unis a déclaré que 74 % des conseillers étaient la cible de cyberattaques. Qu’est-ce qui motive cette croissance des cyberattaques contre les gestionnaires de patrimoine ?
L’une des principales raisons est le fait que l’aspect informatique de l’industrie est devenu complexe. Par exemple, les clients s’attendent à ce que les gestionnaires de patrimoine offrent des applications et des services mobiles, ce qui augmente le nombre de points d’entrée potentiels pour les attaques.
2. Fraude et incidents internes
Selon PwC, « les cas de fraude, en ligne et hors ligne, ont augmenté de plus de 130 % au cours de [2017], entraînant d’importantes pertes monétaires et de réputation pour les institutions financières ».
En termes simples, les menaces de cybersécurité ne se limitent pas aux seules attaques externes ; elles peuvent provenir de votre propre société de gestion de patrimoine. Cependant, ces risques ne sont pas intrinsèquement malveillants dans tous les cas. Elles peuvent simplement résulter d’une négligence de la part du personnel ou de l’entreprise.
Par exemple, les appareils appartenant à l’entreprise ou aux employés qui contiennent des renseignements confidentiels sur l’entreprise peuvent être perdus ou volés, puis tomber entre de mauvaises mains. De même, la négligence dans la manipulation des mots de passe et d’autres contrôles pourrait faire en sorte que ces clés tombent dans des mains externes.
En termes d’activités malveillantes, des mesures de sécurité informatique répréhensibles (y compris l’absence de contrôles d’accès aux données des clients, les communications non cryptées, etc.) facilitent grandement les délits d’initiés, le vol ou le chapardage et la fraude d’identité. Comme pour les cyberattaques, la croissance des incidents internes peut être attribuée à l’augmentation du nombre de points d’entrée pour les attaques, comme les applications mobiles et l’utilisation de services externes infonuagique.
3. Le rançongiciel « ransomware »
Les rançongiciels, c’est-à-dire les logiciels rendant possible la pratique consistant à empêcher l’accès à quelqu’un à son compte contre rétribution d’argent, se font généralement par hameçonnage. L’hameçonnage est une méthode d’ingénierie sociale qui consiste à tromper l’utilisateur qui donnera au pirate son mot de passe ou d’autres données critiques, permettant à l’attaquant de prendre le contrôle du système de la victime.
Selon PwC, le logiciel de rançon Petya et WannaCry a affecté « des centaines de milliers d’ordinateurs dans le monde entier ». Il s’agit là d’une grave menace pour les sociétés de gestion de patrimoine, car les employés, les entrepreneurs et même les clients peuvent être la cible de l’hameçonnage.
Par conséquent, les gestionnaires de patrimoine doivent être particulièrement attentifs au « harponnage » : « un stratagème de fraude par courriel semblable à l’hameçonnage, mais ciblant habituellement des organisations précises et provenant de ce qui semble être une source fiable » (Deloitte).
Le harponnage fonctionne parce que les utilisateurs considèrent ces courriels — en particulier ceux provenant de sources fiables comme leur société de gestion de patrimoine — comme de la correspondance normale et décident qu’il est acceptable de partager des renseignements confidentiels en retour alors qu’en fait, ils ne devraient pas.
Vous n’êtes pas seul !
Selon le Global Risk Management Survey of the Financial Services Industry 2016 de Deloitte, près de la moitié des sociétés de services financiers — y compris les gestionnaires de patrimoine — estiment que l’atténuation de leurs risques en matière de sécurité informatique est « très difficile » ou « extrêmement difficile ».
De toute évidence, vous n’êtes pas le seul à vous préoccuper des risques liés à la sécurité des TI. De plus, à mesure que les tendances du secteur poussent votre société de gestion de patrimoine à adopter l’automatisation, le nuage et d’autres technologies et processus de pointe, la « surface d’attaque » dont disposent les cyberattaquants contre votre société ne fera que croître. En fin de compte, vous devrez commencer à réfléchir à des solutions potentielles pour protéger votre entreprise et ses actifs des cyberattaques et autres activités malveillantes.
