IT & Asset management

Cybersécurité, les gérants en alerte

le 05/10/2017 L'AGEFI Hebdo

Les sociétés adossées aux banques auraient de l’avance dans la protection des cyberattaques.

Cybersécurité, les gérants en alerte
(Fotolia)

Les cyberattaques WannaCry et Petya du printemps dernier auraient-elles réveillé les consciences ? « Ces deux piratages massifs ont contribué à augmenter le budget de la cybersécurité dans de nombreuses entreprises malgré la tendance à faire des économies », remarque Michaël Bittan, associé chez Deloitte. Les attaques informatiques se multiplient, avec les mêmes motivations lucratives, idéologiques ou techniques, mais sur des cibles plus nombreuses du fait de la multiplication des points d’entrée : interfaces réseau, usages pro/perso, objets connectés, etc. Les enjeux de sécurité des systèmes d’information (SSI) ne sont pas spécifiques à l’asset management, « mais les sociétés de gestion présentent, outre les risques généraux, des risques propres à toutes les entreprises qui évoluent dans un monde de flux », rappelle Laurence Barroin, associate partner finance risque conformité chez Investance.

Des menaces

La principale menace concernerait le vol ou la destruction des données, avec comme but le « rançonnage ». « Le plus gros risque est essentiellement un risque d’image, surtout dans un métier comme le nôtre lié à la confiance que nous accordent les clients », note Julien Stankiewicz, responsable SSI d’Amundi, évoquant une industrialisation des attaques non ciblées. L’enjeu est de protéger les données et l’identité des clients contre un hacker qui prendrait conscience de leur valeur, « et tenterait par exemple d’accéder aux stratégies d’investissement des institutions, entreprises ou clients privés », précise Arnaud Tanguy, président du groupe de travail Cybersécurité à l’Association française de la gestion financière (AFG), qui publiera le 17 octobre une deuxième étude et des fiches pédagogiques sur le sujet.

Le risque de « chiffrement » des ordres clients à des fins de détournement des avoirs existe mais semble limité car il faudrait s’immiscer dans les mécanismes d’échanges entre la société de gestion, ses distributeurs et ses dépositaires, généralement des banques aux systèmes très sécurisés... Des attaques ciblées paraissent d’autant moins fondées que les marques de la gestion sont peu connues du « grand public ».

L’espionnage industriel, d’un pirate au service d’une boutique indépendante qui souhaiterait avoir accès à un processus de gestion quantitative sophistiqué en vue de le recopier ou de l’arbitrer, est aussi une possibilité, mais dans des scénarios extrêmes, en termes de coûts/bénéfices, encore jamais constatés.

La manipulation des ordres, recommandations ou recherches est un autre risque, qui peut avoir un impact sur les marchés, « comme cela avait été le cas lors du piratage du compte Twitter d’AP qui, en annonçant deux explosions à la Maison-Blanche en avril 2013, avait fait chuter le Dow Jones pendant deux minutes et sans doute profité à certains opérateurs », poursuit Arnaud Tanguy. Pour autant, les messages du front-office au sujet d’un ordre ou d’une valorisation suivent des circuits complexes, également très sécurisés : « Pour être certain que l’activité ne puisse être bloquée, nous avons des réseaux dupliqués via différents opérateurs, ainsi que des liens sécurisés qui ne passent pas par internet », rappelle Julien Stankiewicz.

Une dernière menace est liée aux prestataires externes. Plus la société de gestion en a, plus elle a de connexions et de failles potentielles. Et les plus grandes peuvent s’exposer en sens inverse lorsqu’elles deviennent elles-mêmes prestataires comme avec BlackRock ou Amundi sur des services touchant à l’exécution ou à la gestion des middle et back-offices. « C’est vrai plus largement du fait d’une ‘digitalisation’ des fonctions, que celles-ci soient liées à la gestion de ‘big datas’ provenant de l’extérieur, au conseil à l’investissement de ‘robo-advisors’, ou à la distribution organisée via des ‘blockchains’, qui nécessitent une collaboration étroite avec les équipes SSI pour être exploitées sereinement », note Arnaud Tanguy.

... et des protections

En 2016, les sociétés de gestion françaises ont augmenté de 10 % leur budget IT consacré à la sécurité informatique, selon l’étude l’AFG, même si ce poste, de 5,2 % du budget IT en moyenne, restait inférieur à celui des autres services financiers (6,4 %, selon une étude Gartner), et surtout disparate selon les gestions... Celles adossées à de grands groupes bancaires ou d’assurances bénéficient des moyens de protection mis en place par la maison mère. Les petites n’ont pas le même niveau de sécurité, sauf quand elles font appel à de grands prestataires externes, « via des dispositifs de services partagés/‘cloud’ proposés par des fournisseurs qui disposent d’équipes de sécurité 24h/24 et de méthodes avancées. Toutefois, elles n’ont pas encore acquis la culture de la sécurité », estime Michaël Bittan. Il peut même y avoir plus de risques chez des acteurs de taille moyenne qui ont développé leur système eux-mêmes.

Les sociétés de gestion estiment déjà répondre assez bien aux « basiques » de la sécurité. Cela semble vrai pour les premières règles, qui consistent à savoir précisément sur quels postes se situe l’information et à prévoir un plan de continuité ; c’est moins le cas pour les moyens de protection. « Quand survient un incident impliquant le chiffrement de données, se joue une véritable ‘course contre la montre’ pour stopper le virus, explique Julien Stankiewicz. Les postes infectés doivent être isolés le plus rapidement possible pour limiter l’impact. Une fois réalisé ce confinement, il est possible de passer à la phase de restauration des données. Les nouvelles technologies de type ‘snapshot’ permettent de sauvegarder et restaurer rapidement les données de l’entreprise. »

Il reste donc beaucoup à faire. L’entrée en vigueur du règlement européen sur la protection des données personnelles (GDPR), en mai 2018, nécessitera une préparation de toutes les entreprises en vue de cartographier les données personnelles qu’elles détiennent, inventorier les traitements, définir une gouvernance et nommer un data protection manager. Il leur faudra recueillir le consentement des personnes et garantir la portabilité des données ainsi que le droit à l’oubli.

Savoir détecter

Dans la pratique, la plupart des sociétés de gestion ont déjà connu des incidents, mais certaines n’ont pas pu les détecter, reconnaît l’AFG. « Il y a encore du travail dans la mise en œuvre des processus au quotidien, ajoute Julien Stankiewicz. Il est vital de savoir détecter toute compromission, réagir vite, savoir quels professionnels solliciter et comment. D’autant qu’il s’agit de technologies nouvelles et d’expertises professionnelles encore rares. » Si 89 % des sociétés de gestion interrogées en 2016 reconnaissaient des risques opérationnels et de réputation majeurs, au moins un tiers de leurs directions n’en faisaient pas une priorité, n’ayant souvent pas mis en place de politique de sécurité, de responsable SSI, ou de moyens pour piloter les risques ou réagir face aux incidents (voir les graphiques). « Filtrer les e-mails, analyser le comportement des pièces jointes, pouvoir mettre en quarantaine en cas de doute, voire simuler un environnement de poste de travail pour tromper le ‘malware’ sont des tâches importantes, car 3 % des e-mails sont malicieux et doivent être analysés par des outils de ‘sandboxing’, rappelle Eric Heddeland, directeur Europe du Sud du fournisseur de solutions Barracuda. L’intelligence artificielle permet de plus de lutter contre le ‘phishing’ ciblé et de détecter les comportements déviants. »

Dernier grand chantier : la sensibilisation. Les sociétés de gestion y travaillent, les directions SSI lançant elles-mêmes des « phishing », comme il est préconisé, en vue d’alerter les salariés sur les risques à ouvrir des e-mails inconnus ou factices et leurs pièces jointes. « Les moyennes statistiques montrent que 40 % des salariés cliquent lors de la première campagne, et moins de 5 % lors de la cinquième », détaille Arnaud Tanguy. C’est encore trop quand on sait qu’il s’agit d’un point d’entrée efficace des attaques.

La 8e édition de L'AM TECH DAY aura lieu le 9 octobre 2017.
Rendez-vous sur www.agefi.fr/evenements

Le plus gros risque est un risque d’image, surtout dans un métier comme le nôtre lié à la confiance que nous accordent les clients
JULIEN STANKIEWICZ, responsable SSI d’Amundi

Ailleurs sur le web

A lire aussi