Cybersicherheit im Family Office: Tipps gegen Cyberangriffe
Notre expertise en bref

Comment les single family offices peuvent se protéger contre les cyber-attaques.

Un voile de secret entoure les single family offices, notamment en ce qui concerne les violations de la sécurité informatique. Martin Clements, expert en cyberprotection, discute avec la représentante d’un SFO de la manière dont les mesures de sécurité protègent des criminels en ligne la fortune et les secrets des bénéficiaires et offre des conseils pour améliorer cette protection.

Les cyber-attaques sont un risque pour les single family offices

Les dix plus grands single family offices (SFOs) d’Amérique du Nord totalisent environ 451 milliards d’actifs gérés.1 Quoique leurs bilans les placent sur un pied d’égalité avec les grandes multinationales, les SFO dédient généralement comparativement beaucoup moins de ressources à la cybersécurité, à laquelle ils sont par ailleurs souvent moins sensibilisés.

Imogen Tempest, dont la mission au sein du SFO où elle travaille inclut la cybersécurité, admet que «dans mon précédent emploi, je gérais l’infrastructure informatique d’une société publique et mon équipe se composait d’environ 80 collaborateurs. Ici, je suis assistée d’un seul collaborateur qui travaille par l’intermédiaire d’un tiers. Les ressources que nous avons à notre disposition sont bien plus limitées et il est probable que nous donnions l’impression d’être une cible facile».

Le cybercrime est le terme utilisé pour désigner toute violation malveillante des systèmes de sécurité informatique d’une organisation. Quoique l’objectif final soit souvent la fraude, les criminels s’intéressent aussi aux informations pour lesquelles le SFO serait disposé à payer afin de garantir la confidentialité et qui, dans certains cas, pourraient compromettre sa sécurité.

Identifier à temps les failles de la sécurité informatique

Pour déterminer leur niveau de cybersécurité, les SFO peuvent procéder tout d’abord à un test de pénétration afin de mettre en évidence leurs vulnérabilités.

«Après avoir effectué notre premier test de pénétration, nous avons examiné les résultats et défini les mesures à mettre en œuvre en priorité», indique Imogen Tempest. Cette approche échelonnée a porté ses fruits. Elle ajoute: «Chacun accepte désormais les tâches à effectuer, même les changements réguliers de mot de passe, qui requièrent des mots de passe complexes et qui sont des procédures fastidieuses.»

Les cyberattaques sont de plus en plus sophistiquées

Il est vital de veiller à ce que le SFO soit préparé à une cyberattaque, car elle se produira inévitablement. D’après Imogen Tempest, qui a accepté cet entretien à la condition que son nom soit modifié afin de ne pas accroître le risque de cyberattaque à l’encontre du SFO pour lequel elle travaille, l’attaque surviendra vraisemblablement sous la forme d’une usurpation de l’identité du CEO. Ce type d’attaque se produit lorsque des criminels envoient des e-mails exigeant des paiements frauduleux en se faisant passer pour des cadres dirigeants.

Fait inquiétant, Imogen Tempest est de l’avis que ces attaques sont de plus en plus difficiles à détecter. «Il y a quelques années, il était facile de reconnaître ces e-mails, car ils étaient souvent mal formulés», explique-t-elle. «J’ai eu l’occasion ces derniers temps d’en voir quelques-uns qui paraissaient bien plus authentiques». Une personne prise au dépourvu un vendredi après-midi, une période propice à ces attaques, pourrait demander l’exécution d’un paiement. Le seul espoir est que les employés du service financier soient suffisamment vigilants pour s’interroger sur le bien-fondé de cette demande ou que d’autres contrôles des paiements aient été mis en place pour réduire ce genre de risque. Mais il est impossible de garantir que ce soit le cas.»

Outre l’usurpation de l’identité du CEO évoquée par Imogen Tempest, d’autres cybermenaces sont notamment les attaques par phishing, par lesquelles les escrocs tentent de soutirer des informations qui leur permettront d’accéder à des comptes bancaires, les attaques par cheval de Troie, qui introduisent des virus dans le système informatique par le biais de liens malveillants, le hacking du système, afin d’en subtiliser des données sensibles qui pourront être utilisées pour faire chanter les victimes, les ransomware, qui permettent aux criminels de bloquer les systèmes informatiques jusqu’à ce qu’une rançon soit payée, et la fraude interne.

Cybersicherheit in Single Family Offices

La roue de la cybersécurité de Martin Clements

Avec d’importants bilans, des bénéficiaires fortunés et un personnel réduit, les SFO sont des cibles de choix pour les cybercriminels. Une protection de qualité ne doit pas forcément être coûteuse ou sophistiquée. Elle dépend plutôt de facteurs tels que la responsabilité partagée, la mise en œuvre rigoureuse des meilleures pratiques et une vigilance permanente.

Ces mesures de cybersécurité valent la peine

Dans chacun de ces cas, il est indispensable, pour se protéger, de faire preuve non seulement de vigilance, mais aussi de rigueur et d’avoir un sens de la responsabilité partagée. Heureusement, il n’est pas nécessaire de disposer de ressources importantes ou de technologies sophistiquées pour se protéger. En effet, le SFO où Imogen Tempest travaille mise sur la prévention.

«La plupart des mesures d’atténuation peuvent être mise en œuvre sans coûts démesurés. Mais nos collaborateurs, leur manière d’agir et les informations qu’ils détiennent comptent parmi nos atouts les plus précieux et nous devons donc être disposés à investir pour assurer leur protection», explique-t-elle. Le SFO pour lequel elle travaille a par conséquent mis en œuvre des contrôles efficaces, des plus basiques aux plus sophistiqués. Il s’agit notamment des éléments suivants:

  • Authentification multifacteurs
  • Installation en temps opportun des mises à jour et correctifs logiciels
  • Limitation de l’accès aux systèmes aux appareils pré-enregistrés
  • Modification mensuelle des mots de passe en utilisant des mots de passe complexes
  • Recours à un spécialiste tiers pour obtenir des conseils en matière de cybersécurité
  • Utilisation de logiciels éprouvés pour contrôler les e-mails et les nettoyer des virus à l’aide d’une méthodologie de désamorçage et de reconstruction de contenu (Content Disarm and Reconstruction, CDR)
  • Désignation d’un cadre dirigeant chargé entre autres de la cybersécurité
  • Organisation de formations du personnel sur la cybersécurité et d’examens réguliers pour tester ses connaissances et ses pratiques
  • Réduction de la présence en ligne du SFO, notamment sur les réseaux sociaux, afin de diminuer le risque que des informations précieuses ne finissent entre de mauvaises mains

Sensibiliser les employés aux risques de cyber-attaques

Mais même toute une panoplie de contrôles ne permettra pas à un SFO de vaincre les criminels si l’état d’esprit n’est pas au rendez-vous. Il s’agit notamment d’expliquer sans ambiguïté que la sécurité informatique est une priorité, même si cela entraîne une réduction des types d’appareils que le personnel et les bénéficiaires peuvent utiliser. Imogen Tempest explique que «nous disposons d’un environnement Windows 10 Professional. Si quelqu’un souhaite utiliser un MacBook, je suis obligée de refuser. Nous nous limitons à un seul standard, ce qui facilite considérablement les contrôles.»

Elle est également rigoureuse pour ce qui est de l’application des mesures de sécurité. Elle se réunit par exemple tous les mois avec le service de support informatique pour examiner les éventuelles modifications requises en fonction de l’évolution des menaces. «Je ne veux pas que l’on croie que la sécurité informatique ne fait pas partie de nos priorités absolues, alors qu’elle en fait incontestablement partie», ajoute-t-elle.

Établir des normes de sécurité informatique également chez les clients

Cette vigilance s’applique également au «chef de famille», qui est l’un des acteurs clés d’un SFO, mais qui considère trop souvent que les règles ne s’appliquent pas à lui, en dépit du fait qu’il utilise généralement plusieurs appareils, dans plusieurs domiciles et bureaux, ce qui accroît considérablement le risque d’attaque.

Pour obtenir le soutien total du chef de famille, Imogen Tempest a eu une discussion franche avec ce dernier, afin de lui expliquer pourquoi il pourrait être la cible d’une cyberattaque et les répercussions possibles en cas de réussite d’une telle attaque, notamment la mise en danger de la sécurité ou de la réputation du family office, ainsi que son exposition aux tentatives de fraudes. Parallèlement, elle a souligné l’importance de diriger de manière proactive.

«Le chef de famille donne l’exemple qui est normalement suivi par les autres. S’il est lui-même convaincu de l’importance de la sécurité, les autres employés la prendront également bien plus au sérieux qu’ils ne le feraient autrement», indique-t-elle.

Des contrôles de sécurité réguliers préviennent les cyber-attaques

Aujourd’hui, quoiqu’elle estime que les mesures de cybersécurité mises en place par son service sont fiables, elle admet que des améliorations sont toujours possibles. En particulier, elle n’a pas encore simulé ce qui se produirait si une attaque devait survenir. «Nous l’avions fait dans l’entreprise pour laquelle je travaillais autrefois, mais pas dans celle-ci. Cela donne certainement à réfléchir», indique-t-elle.

Une simulation a quatre objectifs. Premièrement, elle rappelle aux collaborateurs le comportement à adopter en cas d’attaque, par exemple désactiver les systèmes et examiner les audits des accès. Deuxièmement, elle montre aux employés que le SFO prend la cybersécurité au sérieux et qu’ils doivent suivre les procédures correctes. Troisièmement, elle permet de définir dans quels domaines des efforts supplémentaires sont requis pour optimiser la protection. Enfin, si l’attaque aboutit, le fait d’avoir exécuté récemment un test de pénétration réduit le risque de réclamation, qu’elle soit de nature juridique ou personnelle.

Et Imogen Tempest d’ajouter: «Il ne sert à rien de se taper sur l’épaule en se félicitant de toutes les mesures appliquées, si l’on continue à ignorer quels sont les points faibles ou comment réagir».

Les copies analogiques amortissent une cyber-attaque

Un autre aspect souvent négligé est l’identification des atouts les plus précieux d’un SFO, à savoir les informations qui nécessitent une protection spéciale.

Il s’agit par exemple de la planification successorale, des rapports de santé des bénéficiaires, voire même de photographies. Conserver ces informations seulement sous forme physique dans un coffre-fort les mettra à l’abri des cybercriminels. Toutefois, si des informations hautement confidentielles doivent être disponibles dans un format numérique, il est recommandé de les garder uniquement sur une clé USB et d’en créer une copie principale et deux sauvegardes, conservées à des endroits différents.

Imogen Tempest indique qu’elle ne connaît certes aucun autre SFO qui soit mieux équipé en matière de cybersécurité que celui pour lequel elle travaille, mais que «cela ne signifie pas que les risques n’existent pas». Au cours de ce bref entretien, elle a également convenu que des mesures supplémentaires pouvaient être mises en œuvre pour renforcer la protection non seulement de la fortune des bénéficiaires, mais des bénéficiaires eux-mêmes. Étant donné la ténacité des cybercriminels et la fréquence des actes de cybercriminalité, il est de l’intérêt de chaque SFO d’analyser son environnement informatique et de déployer tous les efforts possibles pour prévenir de tels actes.

1 https://www.insead.edu/sites/default/files/assets/dept/centres/gpei/docs/insead-student-family-offices-global-landscape-and-key-trends-2020.pdf

Notre offre de conseil

Convenir d’un entretien de conseil  This link target opens in a new window
Dans le monde actuel, un conseil de qualité est un facteur clé pour une gestion de fortune performante. Au Credit Suisse, votre conseillère ou conseiller clientèle est votre interlocuteur direct. Vous avez ainsi accès à notre vaste gamme de compétences en gestion de fortune ainsi qu’à notre expertise en matière de financement d’entreprises et d’investment banking. Vous en apprendrez plus sur la manière dont vous pouvez concrètement profiter de notre expérience lors d’un entretien personnel. Il vous suffit de nous appeler.