Si vous n’avez pas suivi l’événement en direct sur Paperjam.lu, retrouvez aujourd’hui l’intervention de Francis Kass, Partner dans le département Investment Management chez Arendt & Medernach. L’orateur est également membre du «Corporate Governance Centre» chez Arendt & Medernach et s’est penché sur les questions de cybersécurité du point de vue de la gouvernance à mettre en place au niveau des fonds d’investissement notamment.

Réécoutez l’intégralité du podcast Arendt We Live en cliquant sur le lien ci-dessous.

L’industrie des fonds d’investissement présente un risque spécifique de cyberattaque. «Son activité de gestion de portefeuilles de grande valeur, qu’ils soient composés d’actifs financiers ou autres, en fait une cible intéressante pour des hackers», note d’emblée Francis Kass. Ajoutons à cela que les fonds d’investissement font appel à de nombreux prestataires, auxquels ils délèguent certaines activités, avec les risques que cela représente. Tous sont connectés et ont accès à des données nécessaires pour exercer leur activité.

En cas de cyberattaque auprès d’un des prestataires, le premier risque est bien sûr l’interruption des systèmes ou l’inaccessibilité des données, avec pour conséquence que le fonds ne puisse plus fonctionner. Le deuxième risque est celui des transactions frauduleuses. Prétendant agir pour le compte du fonds, un hacker pourrait ainsi falsifier un appel de capital et réclamer un paiement aux investisseurs. À l’inverse, prétendant être un investisseur, le hacker pourrait réclamer un remboursement de la part du fonds. Finalement, il y a évidemment le risque de vol des données confidentielles concernant le portefeuille et/ou les investisseurs.

Dans le domaine des fonds d’investissement, comme pour toute autre activité économique, déléguer une activité à un prestataire externe, c’est par définition faire entrer un nouvel acteur dans un processus. «Le fait d’ouvrir le flux d’informations vers l’extérieur présente des risques certains de cyberattaque», précise à juste titre Francis Kass. D’une part, il peut y avoir un incident au niveau du délégué lui-même. D’autre part, il y a aussi le risque que la communication entre l’institution financière et son délégué soit interrompue ou interceptée. Il est donc primordial de mettre en place une surveillance de cette délégation, et cela a fortiori si une entreprise partage des données précieuses avec un prestataire externe. «Chacun étant interconnecté, une intrusion dans le système d’une des parties pourra donner accès à l’intégralité du système au hacker», constate logiquement notre orateur.

«Toute la difficulté dans la lutte contre les cyberattaques, c’est la perpétuelle adaptation des hackers pour contourner les mesures de protection mises en place», affirme notre intervenant. Le risque zéro n’existe pas. Mais il convient d’être diligent et de prendre les mesures de protection nécessaires, afin de limiter les risques au maximum. Il faut gérer le risque de cyberattaque, de la même façon qu’on gère toutes sortes de risques financiers pouvant affecter les actifs d’un fonds d’investissement.

En cas de cyberattaque, le conseil d’administration peut être tenu responsable du dommage causé à la société ou à ses actionnaires, si le conseil n’a pas pris les précautions nécessaires qui s’imposent. «Les administrateurs ne peuvent pas rester passifs sur la question de la cybersécurité. Ils doivent s’assurer que la société est préparée contre les cyberattaques. Ils doivent donner les bonnes impulsions, qui doivent ensuite être mises en application par l’ensemble des intervenants.»

Le conseil d’administration doit prendre des mesures préventives pour éviter qu’un incident ne se produise. Cela implique la mise en place de stratégies et de procédures, notamment de due diligence, vis-à-vis des prestataires délégués. Comme il n’est pas possible de tout protéger, le conseil doit identifier les données les plus précieuses, les systèmes les plus essentiels, sans lesquels la société ne peut pas fonctionner et sur lesquels il faut concentrer les efforts de protection.

«Mais il faut également mettre en place, en amont, un plan d’action précis, pour que chacun sache ce qu’il faut faire lorsqu’un incident survient réellement», précise Francis Kass. Ces procédures doivent être régulièrement testées et mises à jour. «La cybersécurité doit faire partie intégrante de la gouvernance de la société», confirme Francis Kass, avant de conclure: «La cybersécurité est un sujet que les acteurs financiers comme les banques ou les entreprises d’investissement connaissent depuis longtemps. Les membres du conseil d’administration d’un fonds d’investissement doivent prendre conscience qu’ils ont, eux aussi, un rôle à jouer dans ce domaine. Ils doivent vérifier qu’au niveau du fonds et de ses prestataires des mesures de sécurité appropriées ont été prises, afin de protéger l’intégrité des données et s’assurer de la robustesse des systèmes informatiques utilisés par les prestataires du fonds.»

3 questions express à Francis Kass

• Quel est le talon d’Achille digital du Luxembourg?

Pour commencer, je dirais que le Luxembourg est sûrement parmi les pays les plus efficaces et les plus alertes sur les questions de cybercriminalité. Cela dit, le Luxembourg a beaucoup d’interactions vers l’extérieur, avec beaucoup d’intervenants externes, ce qui peut être une force, mais aussi une faiblesse, car cela peut fragiliser la chaîne de transmission des informations.

• Quel impact la pandémie de Covid-19 aura-t-elle sur la santé digitale des entreprises?

Si leur digitalisation rapide et forcée a pu présenter des risques au premier abord, cela leur a permis d’avancer, de prendre conscience aussi de leurs faiblesses et de commencer à y remédier. En fin de compte, je crois que les entreprises en sortiront grandies.

• Quelle mesure conseilleriez-vous à toutes les entreprises de mettre en place au plus vite?

Il s’agit d’identifier ce qui est le plus précieux pour l’entreprise, ce dont elle a absolument besoin pour fonctionner – quelles données, quels systèmes – et donc de mettre en place les mesures adaptées pour en assurer la protection en cas d’attaque.