Les entreprises familiales sont plus que jamais confrontées aux cybermenaces. Comme ils dépendent de plus en plus des solutions technologiques pour gérer les investissements et les opérations, une approche fragmentaire des systèmes plutôt que l'utilisation d'un logiciel de gestion de patrimoine complet peut créer des problèmes. 

Nombreux sont ceux qui ne sont pas préparés, alors que les attaques ciblées gagnent en ampleur et en fréquence. Les tentatives d'hameçonnage, les attaques par ransomware et les tactiques d'ingénierie sociale sont courantes, les cybercriminels considérant les family offices comme des cibles faciles. Leurs petites équipes, leur valeur nette élevée et leurs systèmes de cybersécurité limités constituent une opportunité parfaite.

"Cela peut sembler paranoïaque, mais je pense que les family offices sont en train de devenir la cible numéro un des pirates informatiques et des escroqueries par hameçonnage. J'ai récemment participé à un appel avec dix autres très grands family offices et six d'entre eux ont été piratés" - Directeur financier d'un family office de taille moyenne, Canada Family Office Report

Principaux enseignements

chevron
Renforcer les contrôles d'accès - utiliser le MFA, les gestionnaires de mots de passe et les rôles d'utilisateur.
chevron
Élaborer un plan de défense - définir des protocoles de sécurité, de réponse et de récupération.
chevron
Formez tout le monde - faites des tests de phishing et éduquez les membres de votre famille.
chevron
Utilisez un logiciel de gestion familiale sécurisé tel que Masttro - bénéficiez d'un cryptage, de flux directs et de pistes d'audit.
Prévenir les cyberattaques contre les entreprises familiales

Pourquoi les sociétés familiales sont-elles vulnérables ?

La plupart des family offices s'appuient encore sur un mélange d'applications anciennes et de flux de travail manuels. Ils n'utilisent pas de gestionnaires de mots de passe ni de coffres-forts et s'appuient sur des serveurs de messagerie non sécurisés pour partager des informations financières sensibles. Avec ce type de configuration, un désastre n'est pas une question de "si", mais une question de "quand".

Principaux risques :

  • Logins partagés et logiciels obsolètes
  • Absence d'authentification à deux ou plusieurs facteurs
  • Infrastructure de cybersécurité minimale
  • Formation et plan de reprise après sinistre inadéquats
  • Recours à des canaux non sécurisés tels que le courrier électronique ou des outils en nuage non vérifiés

Les pirates informatiques sont devenus de plus en plus intelligents dans leur manière de cibler les family offices. Les escroqueries par hameçonnage peuvent commencer par un simple courriel ou un faux texte avec un lien qui peut exposer des données bancaires, des documents juridiques et des informations personnelles. L'usurpation d'identité et le détournement de médias sociaux ajoutent une autre couche de risque. Des groupes de cyber-attaquants sophistiqués utilisent désormais des courtiers en données pour collecter des informations de base avant de lancer des programmes d'hameçonnage ciblés qui convainquent facilement les cibles qu'elles sont en contact avec un dépositaire ou un fournisseur de services de confiance.

Types d'attaques courantes

  • Attaques par hameçonnage: courriels ou messages qui incitent le personnel ou les membres de la famille à donner accès à des informations.
  • Menaces de ransomware: attaques de logiciels malveillants qui cryptent les données et exigent un paiement.
  • Violation de données: accès non autorisé aux portefeuilles, aux outils de reporting ou aux lecteurs internes.
  • Ingénierie sociale: se faire passer pour un contact de confiance afin d'obtenir un accès ou de transférer des fonds
  • Cyber-extorsion: menaces de divulgation de données sensibles en l'absence de paiement d'une rançon

Le cyberespionnage est une tendance croissante : les attaquants recueillent des informations au fil du temps, parfois même en établissant une relation de confiance par le biais de plusieurs communications non malveillantes, avant de frapper au moment où l'on s'attend le moins à ce qu'ils le fassent.

Les failles de la prévention

Les family offices manquent parfois de ressources, ce qui signifie souvent qu'ils :

  • Sauter les politiques de cybersécurité et les contrôles écrits
  • Ne pas effectuer régulièrement des exercices de phishing
  • Retarder les correctifs logiciels
  • Absence d'un professionnel dédié à la cyber-réaction
  • n'ont pas de programme d'assurance cybernétique

Même des outils de base comme les sauvegardes de données ou l'authentification à deux facteurs manquent dans de nombreuses configurations. Sans visibilité sur les cybermenaces internes, de nombreuses attaques passent inaperçues jusqu'à ce que des dommages irréversibles soient causés.

Livre blanc

Visibilité sécurisée pour les family offices modernes

Mener l'évolution du family office grâce à la technologie et à la sécurité
Décoration de l'anneau Masttro

Ce que les bureaux familiaux peuvent faire

Une stratégie de prévention commence par les éléments de base, puis se développe vers la résilience. Voici cinq mesures que tout family office peut prendre, quelles que soient les ressources dont il dispose.

1. Renforcer les contrôles d'accès

  • Utiliser l'authentification multifactorielle sur tous les systèmes
  • Déployer un gestionnaire de mots de passe et mettre en place des identifiants uniques
  • Appliquer des contrôles au niveau de l'appareil pour l'accès mobile

2. Élaborer un plan (avec des professionnels de la cybersécurité)

  • Créer un plan de réponse aux incidents
  • Élaborer un plan de reprise après sinistre et un plan de continuité des activités
  • Définir les politiques de cybersécurité dans un plan écrit de sécurité de l'information

3. Serrez vos outils

  • Mettre à jour régulièrement tous les logiciels de gestion de portefeuille
  • Exécuter des analyses de détection de logiciels malveillants chaque semaine
  • Définir des alertes pour les liens d'hameçonnage
  • Chiffrer les données sensibles en transit et au repos

4. Former et tester

  • Organiser des exercices d'hameçonnage avec le personnel et la famille pour les sensibiliser aux risques.
  • Limiter l'accès aux médias sociaux aux canaux officiels
  • Surveiller l'usurpation d'identité ou la prise de contrôle d'un compte
  • Informer les membres de la famille des tactiques courantes des cyber-escrocs

5. Des partenaires avisés

  • Travailler avec des fournisseurs qui utilisent des flux de données directs plutôt que des intermédiaires tiers.
  • Choisissez des plates-formes avec cryptage des données, contrôles de cybersécurité et journaux d'audit.
  • Éviter les services qui monétisent les actifs sous gestion ou qui utilisent le "screen scraping".

Liste de contrôle pour la prévention des cyberattaques dans les entreprises familiales

Catégorie Action Objectif
Contrôle d'accès Activer l'authentification multifactorielle / bifactorielle Empêcher les connexions non autorisées
Utiliser un gestionnaire de mots de passe et mettre en place des coffres-forts pour les mots de passe Éviter la réutilisation des informations d'identification et les mots de passe faibles
Créer des rôles d'accès spécifiques aux utilisateurs Limiter la visibilité à ce qui est nécessaire
Politiques de cybersécurité Rédiger et tenir à jour un plan écrit de sécurité de l'information Formaliser les protocoles et les responsabilités
Élaborer un plan de réponse aux incidents et un plan de reprise après sinistre Réagir rapidement aux attaques ou aux pannes
Adopter un plan de continuité des activités Veiller à ce que les opérations puissent se poursuivre en cas d'infraction
Suivi et formation Effectuer des exercices d'hameçonnage tous les trimestres Former le personnel et la famille à la détection des escroqueries par hameçonnage.
Suivre les activités de connexion et les schémas d'accès Détecter les cybermenaces internes
Surveiller les détournements de médias sociaux ou l'usurpation d'identité Mettre fin à l'exposition externe d'informations personnelles
Données et infrastructure Appliquer régulièrement les correctifs logiciels Corriger les vulnérabilités connues
Utiliser le cryptage pour toutes les données (au repos et en transit) Protéger les documents sensibles et les données d'investissement
Mettre en place des sauvegardes régulières des données Permettre une récupération complète des données en cas de violation
Outils des fournisseurs et des plates-formes Choisir un logiciel de gestion de portefeuille avec des flux de données bancaires directs Élimination du raclage de l'écran et amélioration de la fiabilité
Choisir des systèmes dotés d'une protection intégrée contre la cybersécurité Centraliser les contrôles et minimiser les risques
S'associer avec des fournisseurs qui offrent des pistes d'audit et soutiennent la cyber-assurance Assurer la responsabilité et l'atténuation des risques

Comment Masttro renforce votre cybersécurité 

Masttro soutient la prévention des cyberattaques des family offices grâce à une infrastructure de cybersécurité de pointe qui garantit la sécurité et la confidentialité de toutes les informations financières à tout moment.

La plateforme établit les normes les plus rigoureuses en matière d'infrastructure de cybersécurité :

  • Authentification multifactorielle
  • Protocoles de cryptage de niveau militaire
  • Données cryptées à chaque niveau, au repos et en transit
  • Stockage dans un centre de données Tier 4 en Suisse
  • Clés de chiffrement détenues par le client pour accéder aux données
  • Architecture en nuage privée avec serveurs dédiés
  • Aucune donnée n'est stockée sur aucun appareil, jamais
  • Portail de communication sécurisé en lieu et place des courriels non sécurisés
  • Coffres-forts numériques pour le stockage de données financières sensibles
  • Contrôles internes et autorisations, avec accès basé sur les rôles et pistes d'audit
  • Prise en charge complète des routines de récupération et de sauvegarde des données

Contrairement à la plupart des fournisseurs, Masttro ne suit pas les actifs sous gestion des clients et n'utilise pas les données financières des clients pour la tarification ou d'autres utilisations secondaires. La plateforme garantit que les utilisateurs sont propriétaires de leurs données et comprend des contrôles sécurisés pour la communication avec les clients, le suivi des actifs alternatifs et des rapports sécurisés, le tout dans un système intuitif.

Dernière réflexion

Les risques de cybersécurité ne sont plus théoriques, ce qui signifie que les family offices doivent y répondre par des contrôles clairs, des outils intelligents et un processus défini. Une approche pratique de la cybersécurité n'est pas une caractéristique, c'est une base.

La prévention est possible lorsque les bons systèmes sont en place : en tant que leader du secteur en matière de normes d'infrastructure de sécurité, Masttro aide les family offices à garder une longueur d'avance sur les cybermenaces en combinant la protection des données, le contrôle au niveau de l'utilisateur et une visibilité claire. 

Contactez-nous pour savoir comment nous pouvons aider votre family office à réduire les risques liés à la cybersécurité.