Article Les 3 principales menaces à la cybersécurité en gestion de patrimoine et d’actifs en 2018

Ces cybermenaces comprennent les demandes de rançon, les attaques par déni de service distribué (DDoS) et les attaques malveillantes pour n’en citer que quelques-unes. Cependant, dans son enquête de 2017 auprès des PDG, KPMG a constaté que seulement 39 % des PDG de sociétés de gestion d’actifs étaient « complètement préparés pour un événement cybernétique ».

Il est clair que beaucoup de travail doit être fait par les gestionnaires de fortune pour améliorer la sécurité de l’information ; et un programme concret de cybersécurité dépend d’une identification claire de vos menaces réelles. Nous avons décrit plus bas les trois principales menaces à la cybersécurité pour les gestionnaires de fortune en 2018.

1. Attaques malveillantes et attaques DDoS

L’évolution du comportement et des attentes des utilisateurs pousse les gestionnaires de fortune à adopter toute une série de nouvelles technologies, telles que les applications mobiles. Cependant, ces nouveaux actifs sont également de nouveaux points d’entrée pour les cyberattaques potentielles, en particulier les logiciels malveillants.

Logiciels malveillants

Les attaques de logiciels malveillants visent généralement des appareils tels que les ordinateurs portables, les postes de travail et les téléphones intelligents de votre entreprise. Selon Symantec, les attaques malveillantes contre les sociétés de services financiers visent à voler les informations d’identification et les données de ces dernières ou à faciliter une autre attaque — telle qu’une attaque MitM (Man-in-the-middle) — contre votre système.

Accenture a constaté qu’il faut entre 2,01 et 2,36 millions de dollars (en moyenne) aux entreprises (dans toutes les grandes industries) pour se remettre des attaques de logiciels malveillants. En outre, 38 % des infections par des logiciels malveillants dans le secteur des services financiers proviennent d’ordinateurs d’entreprise, c’est-à-dire d’ordinateurs utilisés à l’interne. Ainsi, un programme efficace de sécurité de l’information devrait prendre au sérieux les attaques de logiciels malveillants en tout premier lieu.

Attaques DDoS

De même, l’adoption croissante d’applications de gestion de patrimoine — en particulier sur mobile et via des services en nuage — rend possibles des attaques perturbatrices contre les gestionnaires de fortune. Selon KPMG, les attaques DDoS contre les applications clients de gestion de fortune sont une perspective « probable ». En plus de perturber vos opérations, les attaques DDoS nuisent à votre crédibilité auprès de vos clients.

Il n’est pas facile de faire face aux attaques DDoS, mais s’assurer que vos données et services applicatifs fonctionnent dans des systèmes en nuage et en réseau puissants est un bon début.

2. Le rançongiciel et le hameçonnage

Le rançongiciel (ransomware)

Le rançongiciel est l’une des principales cybermenaces auxquelles sont confrontées les sociétés de gestion de fortune et d’actifs. Une attaque par rançon tente d’exploiter les gens — c’est-à-dire vos employés, vos clients et vous-même — par le biais de l’ingénierie sociale et d’autres méthodes pour essentiellement prendre le contrôle de votre système.

Les attaques par rançon se déroulent par le biais de fausses fenêtres contextuelles, de messages ou d’autres méthodes visant essentiellement à amener l’utilisateur final à soumettre ses informations personnelles identifiables (PII) ou ses identifiants (par exemple, les identifiants de connexion). Un client pourrait par exemple lire un message sur les médias sociaux qui prétend provenir de votre société de gestion de patrimoine et, à son tour, donner son mot de passe sans le savoir.

Le hameçonnage (phishing)

De telles attaques sont décrites comme des attaques d’hameçonnage. Toutefois, le développement du « harponnage » devrait être d’une importance capitale pour les gestionnaires de fortune. Contrairement aux fenêtres contextuelles aléatoires ou aux messages de pourriel, une attaque de « harponnage » est soigneusement adaptée à la victime potentielle.

Fondamentalement, un cyberattaquant vous enverra simplement un courriel — ou à un client, un membre du personnel, etc. — en se faisant passer pour quelqu’un de confiance ou qui lui serait familier, comme un cadre ou un gestionnaire. 

Comme vous pouvez l’imaginer, le maillon le plus faible (ou le plus fort) en termes d’hameçonnage est l’utilisateur. Par conséquent, les pratiques exemplaires en matière de sécurité des TI exigent que l’éducation et la formation des utilisateurs soient un élément clé.

3. Vol de données et fuites de données

Les données sont un bien convoité

Outre les actifs financiers, les gestionnaires de fortune disposent également d’actifs de données extrêmement précieux — et hautement réglementés —, en particulier les données IPI des clients. En fait, PwC a indiqué que les dossiers des clients sont les « données les plus ciblées » pour 36 % des cyberattaques au Canada en 2016.

Toutefois, les gestionnaires de fortune possèdent également des données sous forme d’information sur les placements, de secrets commerciaux ou de propriété exclusive et d’autres actifs essentiels. Certes, les banques disposent d’informations de nature similaire et à plus grande échelle. Mais à mesure que les banques augmentent leurs dépenses de cybersécurité, les gestionnaires de fortune sont désormais considérés comme des cibles potentielles.

Les ressources informatiques des gestionnaires de fortune sont limitées

En effet, les gestionnaires de fortune se trouvent dans la position peu enviable de devoir faire face aux mêmes menaces qui pèsent sur leurs données que les grands prestataires de services financiers, mais — comme le dit PwC — avec des « ressources informatiques internes très limitées ».

Toutefois, les gestionnaires de fortune devront faire face aux mêmes conséquences que les banques en cas de vol (ou de fuite) de données. Par exemple, si les données des clients de votre entreprise sont volées ou divulguées, vous subirez une perte de crédibilité sur le marché.

Avec les nouvelles dynamiques de l’industrie moderne — par exemple les clients qui s’attendent à pouvoir utiliser des applications mobiles et qui, par conséquent, poussent votre société de gestion de patrimoine à investir dans l’infonuagique et d’autres services externes — vos données deviennent vulnérables sur plusieurs fronts./p>

Par exemple, votre fournisseur de services infonuagiques pourrait être une cible très vulnérable ; ou vos applications client ou internes pourraient ne pas avoir été conçues conformément aux normes actuelles de cybersécurité. Cela ne veut pas dire que vous ne devriez pas vous fier à des fournisseurs externes : vous devriez plutôt vous associer à ceux qui possèdent une vaste et crédible expérience de l’industrie et qui comptent sur des partenariats avec des fournisseurs.

Certes, un programme efficace de cybersécurité coûtera cher, mais son coût sera négligeable par rapport aux dommages que peuvent causer les cyberattaques. Dans certains cas, une seule atteinte à la protection des données — lorsqu’elle s’ajoute aux coûts directs du recouvrement, aux pénalités gouvernementales ou réglementaires potentielles, aux problèmes juridiques avec vos clients et à l’incapacité de recouvrer votre réputation auprès de vos futurs clients — peut être dévastatrice.

Il n’est pas facile de faire face à l’évolution constante et à la complexité croissante du paysage de la cybersécurité. En fait, non seulement vous avez besoin d’un ensemble d’expertises et une expérience fondamentale pour sécuriser votre système d’information ; mais il est très difficile, et coûteux en temps et en argent, de renforcer cette capacité.

Adressez-vous plutôt à un partenaire possédant une expérience crédible dans la fourniture de solutions informatiques en matière de cybersécurité — qu’il s’agisse de réseaux, de services nuage, de gestion d’appareils ou d’applications — afin de résoudre correctement vos lacunes en matière de cybersécurité.