Comme si les menaces de vols de données, de piratage ou de rançongiciels ne suffisaient pas, la Securities and exchange commission donne d’autres raisons aux conseillers de renforcer leur cybersécurité en créant des normes de gestion des risques de cybersécurité.
Dans les nouvelles règles proposées par la SEC, le conseiller devrait signaler à celle-ci, sur un nouveau formulaire confidentiel, les incidents de cybersécurité importants l’affectant lui ou ses clients. Le conseiller et les fonds devraient également divulguer publiquement les risques de cybersécurité et les incidents de cybersécurité importants survenus au cours des deux derniers exercices dans leurs brochures et leurs déclarations d’enregistrement.
Jusqu’à présent les gestionnaires de patrimoine ont rapporté un taux d’incidents cybernétiques inférieurs aux autres entreprises du secteur financier, mais les experts estiment qu’ils ne devraient pas attendre qu’une telle attaque survienne pour prendre des mesures de base que les banques et les assureurs ont déjà adoptées beaucoup plus largement, rapporte Financial Planning.
Bien que le fait d’être proactif dans ce genre de domaine mette les sociétés dans une meilleure position, nombre de conseillers et autres gestionnaires de patrimoine ne font pas preuve de ce niveau d’initiative en matière de cybersécurité, selon une enquête menée par Arizent auprès de 192 chefs d’entreprise américains au cours des deux derniers mois de 2021.
L’enquête montre que seuls 19 % des gestionnaires de patrimoine ont signalé une violation de données au cours des cinq dernières années, contre 41 % des assureurs et 48 % des banques.
Pour les types d’attaques présentant les plus grands risques pour les entreprises, les réponses les plus populaires étaient :
- virus, logiciels malveillants ou rançongiciels (60 %);
- violation de données par un pirate ou un autre élément criminel (52 %);
- hameçonnage ou harponnage (50 %);
- et violation involontaire causée par un fournisseur tiers (41 %).
Les raisons de s’inquiéter sont nombreuses selon les experts, mais les gestionnaires de patrimoine ne sont pas totalement inactifs. Plus de 75 % d’entre eux exigent une autorisation à deux facteurs pour se connecter à leurs systèmes, et 79 % l’imposent également aux employés et aux fournisseurs, soit des pourcentages plus importants que ce que l’on trouve chez les banques et les assureurs.
Toutefois les gestionnaires de patrimoine ont pris du retard par rapport aux autres entreprises financières en ce qui concerne certaines bonnes pratiques. Ainsi, ils ont des pourcentages plus faibles que dans le reste des secteurs financiers pour ce qui est des tests ou des pratiques sécuritaires comme une répétition périodique des choses à faire en cas de violation des systèmes de sécurité.
Selon les propositions de la SEC, les conseillers et leur firme devront adopter et appliquer des procédures conçues pour prévenir les brèches et les attaques. Cela signifie que de nombreuses meilleures pratiques sont susceptibles de se transformer en actions nécessaires si elles ne font pas déjà partie des spécifications en vertu des directives d’autres agences fédérales ou des régulateurs d’État.