Sommaire
Introduction
En 2021, 579 cyber-attaques par seconde étaient constatées dans le monde, soit un total de 50 millions par jour. Face à cette menace émergente, aucun acteur économique n’est épargné, du consommateur particulier à la multinationale.
Le risque cyber identifié dans le TOP 3 des menaces pour 2/3 des SGP
Les budgets dédiés à la sécurité augmentent dans 97% des cas (+10% en 1 an)
Le risque cyber est en forte augmentation ces dernières années, exacerbé par les transformations numériques dans tous les secteurs économiques. Plus récemment, il a été renforcé durant la crise sanitaire qui a créé un terrain propice à la multiplication des attaques.
Compte tenu de son cœur d’activité et des gains potentiels pour les hackers, le secteur financier n’est pas épargné et est particulièrement ciblé. L’existence d’un risque de contagion en raison des fortes interconnexions entre les acteurs et le flux des actifs donne une dimension potentiellement systémique au risque cyber.
Fort de ces constats, les régulateurs se saisissent de ces risques, particulièrement dans le secteur bancaire et le secteur financier. Depuis 2013, face à l’augmentation et la sophistication des attaques informatiques, l’ANSSI accompagne les opérateurs d’importance vitale (OIV) dans la sécurisation de leurs systèmes d’information sensibles. Plus récemment, la BCE et la Commission européenne ont publié de nouveaux textes réglementaires (cf site www.consilium.europa.eu). Malgré une réelle prise de conscience de l’importance de la prise en compte du risque cyber, les sociétés de gestion semblent globalement moins préparées que les établissements bancaires.
Quels sont les enjeux ?
Alors que le processus de dématérialisation de l’activité des SGP se poursuit, la sécurité informatique est devenue un enjeu majeur compte tenu du grand volume d’informations financières sensibles susceptibles d’être traitées et de l’augmentation des flux électroniques. Face à des attaques malveillantes sophistiquées et fréquentes, une société de gestion est alors exposée à des pertes opérationnelles et financières pour ses clients et/ou entités. Elle doit alors se préparer en adoptant des mesures en faveur d’une meilleure protection de ses activités.
L’enjeu majeur de cette décennie pour protéger au mieux ses systèmes, ses réseaux et garantir la sécurité des données réside dans la résilience des établissements face aux menaces cyber protéiformes. Afin d’opérer cette protection de leurs systèmes informatiques et de répondre dans les meilleures conditions aux attaques, il est essentiel pour les sociétés de gestion d’identifier les actifs et les activités les plus critiques. Dans ce cadre, les SGP participent de plus en plus à des initiatives collectives sur le développement de la résilience des systèmes et réseaux.
Résilience Opérationnelle Numérique
Désigne la capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue technologique en assurant directement, ou indirectement par le recours aux services de tiers prestataires de services informatiques, l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité.
Les menaces se propagent via différents canaux. Les sociétés de gestion devront porter une attention particulière aux menaces suivantes :
- L’augmentation des surfaces d’attaques avec le recours au télétravail. La crise sanitaire 2020 a en effet entrainé une réorganisation profonde des modes de travail. En tant que fournisseur de produits et de services, le secteur de la finance n’a pas échappé à ce phénomène. Deux ans après les premières mesures de confinement, le télétravail est une pratique plus encadrée mais suscite toujours de nouvelles problématiques de sécurité pour les DSI. Le déploiement du réseau privé virtuel (VPN) offre un niveau de sécurité satisfaisant s’il est bien utilisé et monitoré. Par ailleurs, dans certains établissements le shadow IT est encore mal encadré et les collaborateurs peuvent accéder aux outils de l’entreprise avec des appareils personnels sans garantie de sécurité.
- Les ransomwares et les attaques par « supply chain ». Chaque année, le nombre d’attaques par ransomware ne cesse d’augmenter. La stratégie utilisée par les attaquants est la suivante : tenter d’infiltrer le réseau de l’entreprise, généralement en ayant recours à l’ingénierie sociale (manipulation psychologique en vue d’une escroquerie). Une fois dans les systèmes d’information, l’attaquant déploie son attaque et finit par crypter tout ou partie du système afin d’entraver les activités de l’entreprise. Quand les activités sont paralysées, une demande de rançon est envoyée afin de faire pression et de récupérer les fonds. Depuis quelques années, la chaîne d’approvisionnement est devenue l’une des principales cibles des cybercriminels. Selon le rapport sur la sécurité 2022, les attaques par « supply chain » ont augmenté de +650 % entre 2020 et 2021. Elles reposent de plus en plus sur des bibliothèques et codes open source, des outils Saas et les infrastructures cloud. Une des attaques de plus grande ampleur de ce type est celle de SolarWinds Orion, fin 2020. Ses impacts ont été planétaires (Ministères et institutions américaines, Microsoft, Intel, Cisco, Deloitte…), tout comme l’attaque sur log4j en décembre 2021 qui a exposé de nombreuses entreprises à des compromissions potentielles.
Attaque par « supply chain »
Une attaque de la supply chain logicielle est un type d’attaque de cybersécurité où des acteurs malveillants introduisent du code ou des composants dans un logiciel ou un matériel jugé de confiance. L’objectif d’une telle attaque est de pouvoir infiltrer des organisations situées en aval, c’est-à-dire utilisatrices du composant affecté.
Rançongiciel ou ransomware
Un rançongiciel ou ransomware est un logiciel malveillant ou virus qui bloque l’accès à l’ordinateur ou à ses fichiers et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Par exemple, les pirates informatiques infectent votre ordinateur en vous demandant de télécharger la pièce jointe malveillante attachée à un e-mail ou de vous rendre sur un site contenant un code, qui chiffre par la suite vos fichiers critiques ou vous refuse l’accès à votre ordinateur.
- Les attaques contre le cloud. Le cloud est vu comme une réelle opportunité tant sur les aspects de gouvernance, de maîtrise des coûts que sur les aspects métiers. Les établissements font de plus en plus confiance aux technologies du cloud et déploient des stratégies de migration vers ces infrastructures. Les plus gros établissements se tournent vers des solutions de cloud hybride afin de mieux contrôler les flux, échanges et stockage des données les plus sensibles. Cette hybridation est facilitée par l’interopérabilité des infrastructures dématérialisées. Les plus petites SGP se tournent quant à elles vers des solutions de cloud public en externalisant fréquemment l’infogérance du SI. Au-delà des bénéfices des solutions cloud et des puissances de calcul offertes, le cloud apporte également de nouvelles menaces sur les réseaux.
- L’espionnage et la déstabilisation des événements majeurs en France. Dans les mois à venir, la France s’apprête à organiser des événements majeurs comme les Jeux Olympiques 2024. Bien que ces menaces semblent loin des activités initiales des SGP, elles représentent pourtant de réelles menaces. Les attaquants vont intensifier les actions de déstabilisation notamment via les réseaux sociaux, le recours aux « deepfakes » et l’usurpation d’identité. Les actions d’espionnage vont aussi se multiplier et peuvent impacter les activités des SGP et de leurs clients les plus exposés.
Que faire ?
Face aux enjeux précédemment identifiés, des actions concrètes peuvent être mises en œuvre afin d’atténuer les risques et ainsi mieux protéger les systèmes et les réseaux.
Parmi ces bonnes pratiques, en matière de gouvernance, il est conseillé de :
- Mettre en place une gouvernance dédiée. Afin d’assurer un bon niveau de reporting aux comités des risques ou exécutifs et fournir ainsi une vision claire des risques d’origine cyber, rendre la fonction indépendante de celle de DSI est essentiel
- S’assurer de la bonne déclinaison des principes de sécurité énumérés dans la Politique de sécurité des Systèmes d’Information (PSSI)
- Identifier les actifs les plus critiques et s’assurer du respect des critères de Disponibilité, Intégrité, Confidentialité et de Preuve (DICP)
Avec l’accélération de l’externalisation des services à des tiers, les sociétés de gestion sont confrontées aux risques liés à la dématérialisation, l’externalisation des prestations et la migration vers le cloud. Il est donc recommandé de :
- Mettre en place un dispositif d’évaluation et de surveillance des fournisseurs en portant une attention particulière aux prestataires de services essentiels externalisés (PSEE) et prestataires de services sur actifs numériques (PSAN)
- Auditer et tester à fréquence régulière les prestataires informatiques
- Exiger des clauses contractuelles fortes portant sur la protection et le traitement des données critiques dont les données à caractère personnel
Afin de protéger les réseaux et systèmes des menaces, les SGP doivent avoir la capacité de détecter les problèmes sur les infrastructures et traiter les incidents dans des délais raisonnables. Ce traitement des incidents est essentiel dans le cadre de sécurité puisqu’au-delà de l’identification des menaces cyber, il permet d’insuffler une dynamique d’amélioration continue du SI. Il est donc recommandé de :
- Formaliser un processus de gestion des incidents d’origine informatique et cyber incluant les modalités de déclaration, de remontée et de collecte des informations
- Maintenir à jour un journal des incidents avec une taxonomie commune
- Formaliser un plan de sauvegarde régulier des données informatiques, précisant le périmètre et la fréquence des opérations menées et tester périodiquement les processus de restauration
- Assurer le maintien en condition des composants de SI et traiter les vulnérabilités dans des délais convenables et sur le long terme
Enfin, les systèmes de protection applicatifs ainsi que les mesures de gouvernance ne permettent pas de se prémunir de l’ensemble des risques informatiques. Les SGP développent leurs capacités à faire face aux nouvelles menaces et de manière globale leur résilience opérationnelle et digitale afin de maintenir au maximum leurs activités. Pour ce faire, il est recommandé de :
- Mener des actions de sensibilisation régulières et ciblées auprès de tous les collaborateurs
- Tester les solutions de continuité d’activité au travers de scénarios de menaces réalistes (notamment le plan de secours informatique et les capacités de sauvegarde)
- Adopter une démarche de security & risk by design dans l’ensemble des projets intégrant une composante informatique
- Faire au moins annuellement un audit cybersécurité
L’AFG a un groupe de travail très actif et en constante veille de nouveaux risques cyber, qui a publié plusieurs guides pédagogiques des actions de protection, d’organisation et de gouvernance à mener, dont sur le ransomware.
Quid de l’assurance Cyber ?
Face à la multiplication des cyberattaques, les SGP cherchent à se couvrir contre les pertes financières engendrées et ont de plus en plus recours à la souscription d’une assurance cyber. Selon l’étude AFG 2021, la moitié des SGP disposent d’une assurance Cybersécurité contre un tiers l’année précédente.
Cependant, du fait de l’augmentation massive des attaques ces derniers mois et des difficultés de quantification du risque Cyber, les sociétés d’assurances ont enregistré des soldes négatifs, indemnisant ainsi plus de sinistres qu’elles ne collectaient de primes. Dans ces conditions, les primes ont augmenté et les conditions d’accès ont été renforcées. Les DSI et les RSSI jouent un rôle clé en amont de la souscription car, sans gages de bonne gouvernance IT et de mesures de sécurités fortes, 8 dossiers sur 10 sont refusés.
Par ailleurs, les assurances cyber ne couvrent pas l’ensemble des dommages. Généralement, les pertes d’exploitation, les frais liés à la restauration du SI et les dommages subis à un tiers sont pris en compte. En revanche dans le cas d’une attaque par ransomware, de plus en plus de sociétés d’assurances refusent de couvrir le paiement de la rançon. Cette décision est souvent motivée par le fait que ce processus ne ferait qu’inciter les entreprises à payer sans garantie de restaurer les données et SI endommagés et encouragerait d’autant plus les cybercriminels à multiplier leurs attaques.
L’assurance cyber doit donc être vu comme un outil de plus dans la prise en compte du risque cyber et la résilience opérationnelle d’une société de gestion de portefeuille mais ne constitue en rien une solution pérenne.
Ces principes de sécurité et bonnes pratiques s’appliquent à l’ensemble des établissements de gestion de portefeuilles quel que soit leur taille. Les SGP adossées à des établissements financiers peuvent démontrer de manière générale une meilleure préparation face à ces enjeux du fait de leur taille et des moyens dont elles peuvent disposer notamment au travers des infrastructures et outils mutualisés ainsi que d’une gouvernance plus forte.
Cependant, chaque mesure entraine des coûts de « build » et de « run ». Le régulateur porte attention à la taille et spécificité de chaque établissement et veille à ce que le principe de proportionnalité soit respecté.
Et la RSE dans tout ça ?
La cybersécurité est indissociable de la transformation numérique, des nouvelles méthodes de travail et in fine des enjeux de responsabilité sociétales. Depuis plusieurs années, la France, au travers de l’Europe a entamé une démarche de protection de ses citoyens face aux risques informatiques avec le RGPD. La protection des données est avant tout un gage de confiance, de réputation et de crédibilité aux yeux des clients, des investisseurs et des collaborateurs de l’entreprise.
L’AFG a d’ailleurs produit un guide « protéger et classifier sa donnée », s’adressant aux SGP de toutes tailles et niveaux de maturité.
Aujourd’hui, bien qu’il n’existe aucune obligation réglementaire sur les pans environnementaux, les sociétés de gestion portent attention aux usages des nouvelles technologies et mettent en place des démarches éthiques.
Les critères RSE pèsent de plus en plus dans le choix des fournisseurs de prestations informatiques. Des démarches de sensibilisation sont menées au sein des sociétés de gestion afin de réduire les impacts du numérique, le recyclage de composants informatique et la rationalisation des infrastructures réseaux.
Enfin, à l’heure de l’intensification des attaques informatiques et des tensions géopolitiques que connaissent les différentes régions du monde, la souveraineté numérique est un enjeu majeur. Au-delà d’un enjeu stratégique vis-à-vis de la dépendance aux géants du numérique, c’est un enjeu éthique pour les citoyens français et européens. Les SGP, au même titre que l’ensemble des entreprises qui traitent des données, doivent être en capacité de protéger leurs données et celles des citoyens pour préserver leur droit à la vie privée. C’est notamment la démarche entamée par les régulateurs européens avec les réglementations du RGPD et DMA-DSA (Digital Market Act et Digital Services Act).
Le coin de la start up et de l’innovation
CITALID : plateforme de gestion avancée des risques cyber permettant de collecter, enrichir les informations cyber, géopolitiques et business afin d’offrir une meilleure gestion des risques cyber. Outil de quantification du risques cyber notamment d’un point de vue financier.
CybelAngel : société française scannant plus d’un milliard de documents sur le web et permettant à leurs clients d’identifier les informations sensibles et les récupérant avant que des acteurs malveillants ne s’en emparent.
TEHTRIS : société bordelaise, experte en cybersécurité. Déployés dans le monde entier, ses robots logiciels et ses algorithmes d’intelligence artificielle sont capables de détecter et neutraliser en temps réel les attaques connues et inconnues
YesWeHack : société française, qui a créé le Bug Bounty, sur le principe du crowdfunding appliqué à la cybersécurité. Grâce à la plateforme YesWeHack, les entreprises ont accès à plusieurs milliers de hackers éthiques qui offrent un vaste spectre de compétences, permettant de couvrir l’ensemble des périmètres.
Conclusion
Dans le contexte que nous connaissons ces dernières années d’augmentation des menaces et leur sophistication, les SGP se sont adaptées en renforçant leurs dispositifs de gouvernance et de prise en compte du risques cyber notamment au plus haut niveau des organisations. De plus, compte tenu de la multiplication et de la sophistication des attaques, les interactions entre les SGP et leurs prestataires externes sont de plus en plus évaluées et encadrées pour se conformer aux exigences en matière de protection des données et sécurité des SI. Et l’entrée en vigueur en 2024 du règlement européen sur la résilience opérationnelle digitale (DORA) qui a pour objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique va renforcer ces exigences.
Ce qu’il faut retenir
Afin de développer un cadre de résilience opérationnelle numérique, des actions peuvent être mises en place. Celles-ci permettront d’atténuer les risques et de mieux protéger les systèmes et réseaux. Ainsi, les sociétés de gestion peuvent adapter leur gouvernance pour intégrer ces problématiques et instaurer un contrôle qui couvre également les services externalisés à des tiers. En plus de former leurs collaborateurs aux enjeux de sécurité informatique, les SGP doivent être en mesure de détecter d’éventuels problèmes sur les infrastructures pour traiter les incidents dans des délais raisonnables.
Consultez nos « recommandations » et notre page « remerciements ».