La cybersécurité est au cœur des préoccupations
La Commission des opérations de bourse a offert aux gestionnaires d’actifs un cadeau de Noël à la fin de l’année dernière avec l’annonce des priorités d’examen.
Elle publie chaque année les priorités d’examen pour donner aux gestionnaires d’actifs proactifs la possibilité de revoir leurs pratiques et leurs dossiers au cas où ils seraient sélectionnés pour un examen.
Ce qui est le plus intéressant dans les priorités de cette année, c’est leur accent. Une fois encore, le test donnera la priorité à la cybersécurité et à la gestion des actifs numériques.
Cette préoccupation pour la cybersécurité, qui figurait également dans l’examen de l’année dernière, signale l’intérêt soutenu pour la sécurité numérique à l’ère du numérique :
Configuration des dispositifs de stockage réseau
Direction de la sécurité de l’information
Sécurité de l’information du commerce de détail
Gestion des fournisseurs tiers
Les gestionnaires d’actifs tournés vers l’avenir auraient tout intérêt à s’assurer que leurs actions sont en ordre sur ces fronts. Ce n’est pas une mince affaire, car les entreprises doivent gérer des systèmes hérités parfois lourds et des menaces en constante évolution, sans parler des pratiques de sécurité de leurs partenaires. (Une enquête récente a révélé que seulement 38 % des banques et des sociétés de marchés de capitaux imposent à leurs partenaires les mêmes normes de cybersécurité qu’à leurs propres entreprises.)
Une tentative de violation de données sur sept visant les banques et les sociétés de marchés de capitaux est réussie et que 42 % des violations réussies passent inaperçues pendant une semaine ou plus. Près de 10 % ne sont pas découverts pendant plus d’un mois. En outre, alors que le taux de violations réussies est en baisse, le nombre d’attaques a doublé au cours de l’année dernière. Il est clair que les gestionnaires d’actifs (parmi les autres acteurs des services financiers) doivent faire preuve de vigilance pour sauvegarder les données de leurs clients et leur propre réputation.
Pour autant, je pense qu’agir sur ces seules priorités est une stratégie de cybersécurité insuffisante. Les conseils et les domaines d’intervention sont judicieux, mais ses domaines d’intervention en matière de cybersécurité démentent les complexités des opérations des gestionnaires d’actifs d’aujourd’hui. La liste se concentre sur les données des référentiels qui doivent être sauvegardées, principalement les données au repos. Mais les données se déplacent. Les gestionnaires doivent aller au-delà de la liste et considérer d’autres dimensions de l’entreprise qui pourraient créer un risque supplémentaire, par exemple, les fusions et acquisitions. L’approche d’intégration d’une société acquise a des implications importantes pour la sécurité et le risque. Le processus de diligence raisonnable devrait évaluer la compatibilité technique et la structure de l’organisation de la sécurité pour identifier les risques d’intégration. Ceux-ci doivent être pris en compte dans une stratégie de cybersécurité actualisée, un plan de préparation au premier jour et un plan d’intégration post-fusion.
Par où les gestionnaires d’actifs doivent-ils commencer ?
Reconnaissez que la cybersécurité est un processus, pas un résultat.
La nécessité d’investir dans la cybersécurité ne disparaîtra jamais, car la menace de fraude et les risques liés aux données ne disparaîtront jamais. Il peut être payant de penser à long terme.
Identifiez rapidement les brèches. Plus de 60 % des entreprises interrogées dans la recherche liée ci-dessus ont mis plus de 30 jours pour réparer une violation de données.
Mettez toute l’organisation à contribution. Aucune équipe de cybersécurité, aussi vigilante soit-elle, ne peut se prémunir contre et détecter 100 % de tous les risques et tentatives de violation. Assurez-vous que tous les membres de votre organisation sont formés à un bon protocole de sécurité numérique et savent reconnaître les techniques de violation courantes. . Les mesures de cybersécurité intelligentes sont axées sur l’interne – votre équipe ne contrôle pas le nombre de tentatives de violation auxquelles elle sera confrontée, après tout. Des mesures puissantes pourraient inclure le nombre de brèches réussies, la durée de la perte de service et le temps de réponse.
Regardez au-delà des contrôles de périmètre. Nos recherches montrent que de nombreuses entreprises ont surinvesti dans leurs « clôtures numériques », peut-être dans l’espoir que cela compensera les faiblesses de sécurité ailleurs. Le problème est que même les meilleurs contrôles de périmètre restent poreux, de plus, la plupart des violations ont un lien interne.
