Les défis de la cybersécurité

21 juillet 2022 | 3 min de lecture

Les gestionnaires de fonds ne doivent se faire prendre en pensant qu'ils sont une cible à faible priorité : voici comment identifier les risques et renforcer la résilience, pour protéger les données et les actifs des investisseurs.

La sagesse conventionnelle nous dit que le risque d'investissement dépend uniquement du succès ou de l'échec d'un instrument financier. Un goût du risque plus élevé peut rapporter plus, mais la valeur d'un investissement peut être anéantie. Cela est vrai, mais combien d'investisseurs sont conscients de l'énorme éventail d'autres risques auxquels sont confrontés les fonds qu'ils ont choisis ? Et combien de sociétés de gestion d'investissements considèrent le risque cybernétique comme un risque d'investissement ? Dans cet article, nous expliquons pourquoi le risque cybernétique est un domaine de grande vulnérabilité pour les sociétés d'investissement et les mesures que les entreprises peuvent prendre pour renforcer la sécurité.

Les banques sont une cible plus difficile pour les acteurs de la menace

Les sociétés de gestion d'actifs, comme toute autre entreprise, et plus que la plupart, sont confrontées à des défis sans précédent pour se protéger des cybercriminels. Le secteur fait l'objet d'une attention particulière parce que les banques, historiquement une cible privilégiée pour les pirates, ont investi si massivement dans la sécurité qu'elles sont généralement bien protégées contre les menaces et sont prêtes à répondre quand les attaques se produisent inévitablement.

La plupart des grandes banques mondiales et régionales disposent désormais de centres d'opérations de sécurité dédiés, chargés de détecter, quantifier et répondre aux menaces cybernétiques aux incidents. Malgré tout cela, selon une analyse de Thomas Murray, 20 % des banques ont encore subi des attaques cybernétiques au cours des 12 derniers mois, 8 % refusant de les divulguer. Les banques restent une cible, en particulier par l'intermédiaire des chaînes d'approvisionnement vulnérables, mais il s'ensuit logiquement que les cybercriminels vont poursuivre de plus en plus des cibles qui sont riches en actifs, mais qui ont une sécurité plus faible.

Les sociétés d'investissement sont vulnérables

Avec des Actifs Sous Gestion (Assets Under Management ou AUM) importants, mais souvent des budgets opérationnels limités, les sociétés de gestion d'actifs sont extrêmement vulnérables. Les entreprises financières sont 300 fois plus susceptibles que les autres institutions de subir des attaques, et le coût moyen d'une violation de données en 2021 était de 4,23 M$. Alors que les banques ont les bilans pour absorber ces coûts, peu de gestionnaires d'actifs, sauf les plus importants, le font. Les sociétés sont ciblées par un plus grand nombre d'attaques, par des acteurs de la menace de plus en plus sophistiqués, et les gestionnaires d'actifs se rendent vulnérables en sous-investissant dans l'infrastructure informatique et en s'exposant à un large éventail de prestataires de services.

Les surfaces d'attaque augmentent.

Alors que les gestionnaires d'actifs ont répondu à la COVID en innovant avec de nouveaux services numériques, ils ont involontairement accru leurs surfaces d'attaque. En conséquence, la sécurité n’a souvent pas suivi le rythme de la numérisation, et les performances ont pris le pas sur la résilience. Dans le même temps, les entreprises d'investissement ont profité des gains d'efficacité et de l'expertise offertes par l'externalisation de leur suivi de marché et l'arrière-guichet, s'exposant eux-mêmes, et leurs clients, à un plus grand nombre de tiers que jamais auparavant. Ces institutions d'investissement devraient être des bastions de sécurité, protégeant les actifs des investisseurs et des épargnants comme une exigence minimale, mais elles sont confrontées à une tempête parfaite de surfaces d'attaque croissantes, de chaînes d'approvisionnement vulnérables, de cybercriminalité croissante et de règlementation complexe. Reconnaître le problème est la première étape, mais comment peuvent-ils répondre au défi?

Trois façons dont les sociétés de gestion d'actifs peuvent réduire le risque cybernétique.

Il existe trois façons pour les sociétés de gestion d'actifs de réduire le risque cybernétique dans la salle de marché, le suivi de marché et l'arrière-guichet, faisant de la sécurité une priorité de la haute direction.

1. Apprenez qui sont leurs tierce et quatrième parties

   Selon le Ponemon Institute (2021), 51 % des entreprises ont subi une violation de données causée par un tiers. Pour les entreprises d'investissement, ces tierces parties peuvent inclure des fournisseurs de logiciels, des administrateurs de fonds, des agents de transfert, des sociétés de gestion tierces, des distributeurs et un nombre déconcertant d'autres sociétés, dont beaucoup présentent un risque de violation des données des clients et d'attaques cybernétiques. En plus de cela, une quatrième partie est n'importe quel fournisseur de vos fournisseurs, et est un domaine de risque souvent négligé. Les sociétés devraient maintenir les inventaires de leurs fournisseurs et de leurs et les expositions indirectes, et chercher à les surveiller tous.

2. Incluez le risque cybernétique dans la diligence raisonnable en matière d'investissement

   Incluez le risque cybernétique dans la diligence raisonnable en matière d'investissement, la diligence raisonnable cybernétique devient un domaine essentiel de la diligence raisonnable en matière d'investissement. Les contrôles initiaux et la surveillance continue des sociétés de portefeuille d'investissement doivent être traités comme des contrôles de lutte contre le blanchiment d'argent (AML) et de connaissance du client (KYC) : vous ne travailleriez jamais avec des individus sanctionnés ou faciliteriez indirectement le financement du terrorisme. Alors pourquoi exposer vos clients à un risque cybernétique inutile ? C'est un point particulièrement pertinent en ce qui concerne les entreprises de capital-risque et de capital-investissement avec un petit nombre de sociétés technologiques dans leur portefeuille. La sécurité est un risque potentiellement existentiel pour ces sociétés, en particulier à leurs débuts, et une combinaison de diligence raisonnable et de renseignements continus sur les menaces peut aider un fonds à mesurer et à atténuer ces risques.

3. Investissez dans les équipes et les solutions de sécurité informatique

   Un certain type de gestionnaire d'actifs a longtemps considéré qu'il s'agit d'une fonction d'arrière-guichet, ni vu ni entendu. Aujourd'hui, la sécurité informatique doit être reconnue comme un investissement de la salle de marché, du suivi de marché et de l'arrière-guichet. Sans des équipes bien financées et compétentes, l’infrastructure informatique d’une société d'investissement, la sensibilisation du personnel et l’exposition de tiers en souffriront.