La cybersécurité n’est pas un sujet dont l’industrie luxembourgeoise des fonds d’investissement peut faire l’économie. En cas d’incident, les risques financiers et réputationnels peuvent être colossaux, et l’organe de gestion du fonds se retrouve aux premières loges en termes de responsabilités…
«En comparaison avec tout autre type de sociétés, l’industrie luxembourgeoise des fonds occupe une place particulière en matière de cybersécurité pour la simple et bonne raison que son modèle est basé sur la sous-traitance, relève Astrid Wagner, partner au sein de la practice area IP, Communication & Technology du cabinet Arendt & Medernach. Dans ce modèle, de nombreuses tâches qui doivent être remplies par un fonds sont déléguées à des prestataires externes. Dans ce cadre, le rôle du board est de veiller à ce que les activités déléguées soient correctement exécutées. C’est à lui de s’assurer – et de contrôler – ses sous-traitants et les opérations qu’ils exécutent, mais aussi de s’inquiéter de leur maturité sur toutes les questions de cybersécurité.»
D’importants flux financiers à protéger
«Les gestionnaires se demandent encore trop souvent quel est l’intérêt de hacker un fonds d’investissement ou l’un de leurs prestataires, reprend Astrid Wagner. Il est pourtant clair. Il touche en premier lieu à la confidentialité des données. Les investisseurs s’attendent à ce que des données relatives à leurs investissements soient gardées confidentielles. Une fois que les cybercriminels ont accès à ces données, ainsi qu’à d’autres données financières, telles que des numéros de comptes bancaires et des données personnelles d’investisseurs personnes physiques ou de représentants d’investisseurs personnes morales, ils peuvent voler une identité et utiliser les données à leur insu. Un autre aspect, et certainement pas le moindre, concerne l’importance des flux financiers engagés, que ce soit lorsqu’il s’agit de souscrire des actions ou lorsque le fonds fait son investissement.» Autant d’éléments qui font que l’industrie des fonds d’investissement peut être une cible de choix pour les cybercriminels.
De la théorie à la pratique, il n’y a qu’un pas. Aucune société n’est aujourd’hui épargnée par des tentatives de cyberattaques et les risques qui y sont liés. «Là encore, de nombreux fonds et leurs gestionnaires sous-estiment le risque réel. Les attaques ayant pour cibles les fonds ou leurs prestataires externes sont relativement fréquentes, et si de gros prestataires qui, parfois, opèrent pour de nombreux fonds sont attaqués, ils deviennent ainsi des vecteurs de contamination en cas d’incident. Les attaques peuvent prendre de multiples formes, comme le phishing, les fraudes au président, l’introduction de malwares, etc. Nous sommes régulièrement contactés a posteriori, pour analyser si quelque chose peut être fait d’un point de vue pénal ou si ces attaques entraînent des obligations d’un point de vue réglementaire ou de la protection des données, ce dernier domaine tombant sous la compétence de l’équipe dont je fais partie», poursuit Astrid Wagner.
Passer de la réaction à l’action, et idéalement même à la prévention
Trop souvent encore, les fonds d’investissement, tout comme leurs sous-traitants, sont dans la réaction, alors qu’ils devraient davantage miser sur la prévention. Dans cette configuration, les cybercriminels ont souvent un coup d’avance. Ils s’infiltrent dans les systèmes bien longtemps avant que leur victime ne s’en rende compte. Ils observent les pratiques, étudient les processus, jusqu’au moment où ils arrivent à faire valider une transaction importante, au nez et à la barbe de ceux qui gèrent le fonds…
Mais comment s’en préserver? «La première étape est de sensibiliser les membres du board aux risques de cybersécurité, afin qu’ils prennent conscience de l’importance du sujet, reprend la partner du cabinet Arendt & Medernach. Ensuite, le conseil d’administration doit assurer sa mission de contrôle de ses prestataires.» Il doit bien identifier les sous-traitants, leur poser les bonnes questions, notamment par rapport à la maturité de la sécurité de leurs systèmes d’information, la formation de leur personnel sur ces questions, les procédures en place, y inclus en cas d’incident, afin de pouvoir donner la réponse adéquate et de renforcer la résilience de l’organisation.
«En matière de protection des données, il est important de noter que la période de temps pour notifier une violation de données est très courte. Le responsable du traitement doit le faire dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance, rappelle Astrid Wagner. Pour les sous-traitants, le Règlement général sur la protection des données est encore plus strict et requiert que cette notification soit faite au responsable du traitement (le fonds ou le gestionnaire du fonds dépendant de la forme juridique du fonds) dès que possible après en avoir pris connaissance. Cela veut dire que dès qu’ils sont au courant d’une violation de données, ils doivent faire remonter l’information au niveau supérieur. Or, cette remontée d’information est un réel challenge dans ce secteur de l’industrie des fonds, en raison de l’importante chaîne de sous-traitance qui est en place. Il est également important que les fonds puissent convoquer à bref délai une réunion du board si un incident cyber se produit.»
Une vigilance de tous les instants
Dans le domaine de la cybersécurité, toute la difficulté réside également dans l’agilité des hackers, bien décidés à contourner les mesures de protection mises en place. «Le risque zéro n’existe pas. Mais il convient d’être diligent et de prendre les mesures de protection nécessaires, afin de limiter les risques au maximum. Pour cela, le risque de cyberattaque doit se trouver au même rang que tous les autres risques, notamment financiers, pouvant affecter les actifs d’un fonds d’investissement, précise notre spécialiste de la protection des données. La question de la cybersécurité doit figurer à l’ordre du jour des réunions du board au moins une à deux fois par an. Ce n’est pas une matière qu’on règle une fois pour toutes. Il faut très régulièrement s’interroger sur le niveau de sécurité en place. Les nouvelles technologies évoluent très vite et il faut sans cesse se mettre à jour.»
De la même manière, il est important de faire le point sur les incidents éventuels qui ont eu lieu. «En cas d’incident, une procédure permettant de convoquer une réunion du conseil en urgence doit être en place. Les décisions doivent être prises très vite. N’oublions pas que la responsabilité revient in fine aux administrateurs, soutient Astrid Wagner. On peut d’ailleurs se réjouir de l’arrivée prochaine d’un règlement européen sur la résilience opérationnelle informatique (Dora ou Digital Operational Resilience Act, ndlr) à l’attention des services financiers. Il s’appliquera notamment aux fonds d’investissement et à tous leurs prestataires. Les questions de cybersécurité vont prendre une nouvelle dimension, et on ne peut qu’inviter les gestionnaires de fonds et les prestataires dans ce domaine à s’y conformer rapidement plutôt que de se retrouver submergés au moment de son entrée en vigueur. Les prestataires de services de l’industrie des fonds devraient d’ores et déjà faire de la cybersécurité une opportunité de développement de leurs activités par rapport à des concurrents prenant le sujet moins à cœur. La même chose vaut pour les fonds d’investissement par rapport à leurs investisseurs retail.»
Cet article a été rédigé pour paru le 27 avril 2022 avec
Le contenu du supplément est produit en exclusivité pour le magazine. Il est publié sur le site pour contribuer aux archives complètes de Paperjam.
Votre entreprise est membre du Paperjam Club? Vous pouvez demander un abonnement à votre nom. Dites-le-nous via