Cybersécurité, les gérants en alerte
IT & Asset management
Fabrice Anselmi et Alexandra Oubrier
Les cyberattaques WannaCry et Petya du printemps dernier auraient-elles réveillé les consciences ? « Ces deux piratages massifs ont contribué à augmenter le budget de la cybersécurité dans de nombreuses entreprises malgré la tendance à faire des économies », remarque Michaël Bittan, associé chez Deloitte. Les attaques informatiques se multiplient, avec les mêmes motivations lucratives, idéologiques ou techniques, mais sur des cibles plus nombreuses du fait de la multiplication des points d’entrée : interfaces réseau, usages pro/perso, objets connectés, etc. Les enjeux de sécurité des systèmes d’information (SSI) ne sont pas spécifiques à l’asset management, « mais les sociétés de gestion présentent, outre les risques généraux, des risques propres à toutes les entreprises qui évoluent dans un monde de flux », rappelle Laurence Barroin, associate partner finance risque conformité chez Investance.
Des menaces
La principale menace concernerait le vol ou la destruction des données, avec comme but le « rançonnage ». « Le plus gros risque est essentiellement un risque d’image, surtout dans un métier comme le nôtre lié à la confiance que nous accordent les clients », note Julien Stankiewicz, responsable SSI d’Amundi, évoquant une industrialisation des attaques non ciblées. L’enjeu est de protéger les données et l’identité des clients contre un hacker qui prendrait conscience de leur valeur, « et tenterait par exemple d’accéder aux stratégies d’investissement des institutions, entreprises ou clients privés », précise Arnaud Tanguy, président du groupe de travail Cybersécurité à l’Association française de la gestion financière (AFG), qui publiera le 17 octobre une deuxième étude et des fiches pédagogiques sur le sujet.
Le risque de « chiffrement » des ordres clients à des fins de détournement des avoirs existe mais semble limité car il faudrait s’immiscer dans les mécanismes d’échanges entre la société de gestion, ses distributeurs et ses dépositaires, généralement des banques aux systèmes très sécurisés... Des attaques ciblées paraissent d’autant moins fondées que les marques de la gestion sont peu connues du « grand public ».
L’espionnage industriel, d’un pirate au service d’une boutique indépendante qui souhaiterait avoir accès à un processus de gestion quantitative sophistiqué en vue de le recopier ou de l’arbitrer, est aussi une possibilité, mais dans des scénarios extrêmes, en termes de coûts/bénéfices, encore jamais constatés.
La manipulation des ordres, recommandations ou recherches est un autre risque, qui peut avoir un impact sur les marchés, « comme cela avait été le cas lors du piratage du compte Twitter d’AP qui, en annonçant deux explosions à la Maison-Blanche en avril 2013, avait fait chuter le Dow Jones pendant deux minutes et sans doute profité à certains opérateurs », poursuit Arnaud Tanguy. Pour autant, les messages du front-office au sujet d’un ordre ou d’une valorisation suivent des circuits complexes, également très sécurisés : « Pour être certain que l’activité ne puisse être bloquée, nous avons des réseaux dupliqués via différents opérateurs, ainsi que des liens sécurisés qui ne passent pas par internet », rappelle Julien Stankiewicz.
Une dernière menace est liée aux prestataires externes. Plus la société de gestion en a, plus elle a de connexions et de failles potentielles. Et les plus grandes peuvent s’exposer en sens inverse lorsqu’elles deviennent elles-mêmes prestataires comme avec BlackRock ou Amundi sur des services touchant à l’exécution ou à la gestion des middle et back-offices. « C’est vrai plus largement du fait d’une ‘digitalisation’ des fonctions, que celles-ci soient liées à la gestion de ‘big datas’ provenant de l’extérieur, au conseil à l’investissement de ‘robo-advisors’, ou à la distribution organisée via des ‘blockchains’, qui nécessitent une collaboration étroite avec les équipes SSI pour être exploitées sereinement », note Arnaud Tanguy.
... et des protections
En 2016, les sociétés de gestion françaises ont augmenté de 10 % leur budget IT consacré à la sécurité informatique, selon l’étude l’AFG, même si ce poste, de 5,2 % du budget IT en moyenne, restait inférieur à celui des autres services financiers (6,4 %, selon une étude Gartner), et surtout disparate selon les gestions... Celles adossées à de grands groupes bancaires ou d’assurances bénéficient des moyens de protection mis en place par la maison mère. Les petites n’ont pas le même niveau de sécurité, sauf quand elles font appel à de grands prestataires externes, « via des dispositifs de services partagés/‘cloud’ proposés par des fournisseurs qui disposent d’équipes de sécurité 24h/24 et de méthodes avancées. Toutefois, elles n’ont pas encore acquis la culture de la sécurité », estime Michaël Bittan. Il peut même y avoir plus de risques chez des acteurs de taille moyenne qui ont développé leur système eux-mêmes.
Les sociétés de gestion estiment déjà répondre assez bien aux « basiques » de la sécurité. Cela semble vrai pour les premières règles, qui consistent à savoir précisément sur quels postes se situe l’information et à prévoir un plan de continuité ; c’est moins le cas pour les moyens de protection. « Quand survient un incident impliquant le chiffrement de données, se joue une véritable ‘course contre la montre’ pour stopper le virus, explique Julien Stankiewicz. Les postes infectés doivent être isolés le plus rapidement possible pour limiter l’impact. Une fois réalisé ce confinement, il est possible de passer à la phase de restauration des données. Les nouvelles technologies de type ‘snapshot’ permettent de sauvegarder et restaurer rapidement les données de l’entreprise. »
Il reste donc beaucoup à faire. L’entrée en vigueur du règlement européen sur la protection des données personnelles (GDPR), en mai 2018, nécessitera une préparation de toutes les entreprises en vue de cartographier les données personnelles qu’elles détiennent, inventorier les traitements, définir une gouvernance et nommer un data protection manager. Il leur faudra recueillir le consentement des personnes et garantir la portabilité des données ainsi que le droit à l’oubli.
Savoir détecter
Dans la pratique, la plupart des sociétés de gestion ont déjà connu des incidents, mais certaines n’ont pas pu les détecter, reconnaît l’AFG. « Il y a encore du travail dans la mise en œuvre des processus au quotidien, ajoute Julien Stankiewicz. Il est vital de savoir détecter toute compromission, réagir vite, savoir quels professionnels solliciter et comment. D’autant qu’il s’agit de technologies nouvelles et d’expertises professionnelles encore rares. » Si 89 % des sociétés de gestion interrogées en 2016 reconnaissaient des risques opérationnels et de réputation majeurs, au moins un tiers de leurs directions n’en faisaient pas une priorité, n’ayant souvent pas mis en place de politique de sécurité, de responsable SSI, ou de moyens pour piloter les risques ou réagir face aux incidents (voir les graphiques). « Filtrer les e-mails, analyser le comportement des pièces jointes, pouvoir mettre en quarantaine en cas de doute, voire simuler un environnement de poste de travail pour tromper le ‘malware’ sont des tâches importantes, car 3 % des e-mails sont malicieux et doivent être analysés par des outils de ‘sandboxing’, rappelle Eric Heddeland, directeur Europe du Sud du fournisseur de solutions Barracuda. L’intelligence artificielle permet de plus de lutter contre le ‘phishing’ ciblé et de détecter les comportements déviants. »
Dernier grand chantier : la sensibilisation. Les sociétés de gestion y travaillent, les directions SSI lançant elles-mêmes des « phishing », comme il est préconisé, en vue d’alerter les salariés sur les risques à ouvrir des e-mails inconnus ou factices et leurs pièces jointes. « Les moyennes statistiques montrent que 40 % des salariés cliquent lors de la première campagne, et moins de 5 % lors de la cinquième », détaille Arnaud Tanguy. C’est encore trop quand on sait qu’il s’agit d’un point d’entrée efficace des attaques.
La 8e édition de L’AM TECH DAY aura lieu le 9 octobre 2017.
Rendez-vous sur www.agefi.fr/evenements
{"title":"Le plus gros risque est un risque d\u2019image, surtout dans un m\u00e9tier comme le n\u00f4tre li\u00e9 \u00e0 la confiance que nous accordent les clients»,"name":"JULIEN STANKIEWICZ, responsable SSI d\u2019Amundi»,"body":"","image":0,"legend":"","credit":""}
Un évènement L’AGEFI
AM TECH DAY
Plus d'articles du même thème
-
Rizlum, start-up spécialiste de l’IA agentique, accueille Guillaume Sarkozy
L'ancien grand patron devient vice-président et administrateur de cette entreprise innovante qui a développé un catalogue d’agents IA pour l’assurance. Son objectif : convaincre les acteurs traditionnels d’embrasser l’innovation pour le bénéfice des humains, clients et collaborateurs. -
La société de gestion Eternam écope d’une lourde amende
La commission des sanctions de l’Autorité des marchés financiers reproche à la société de gestion des manquements lors de la commercialisation de fonds d’investissement alternatifs (FIA) gérés et la gestion de club deals. -
Klarna et la crypto réveillent les introductions à Wall Street
Le succès de la cotation du spécialiste du paiement fractionné, associé à l’engouement provoqué par les projets d’introduction en Bourse de plusieurs acteurs des cryptoactifs, illustre l’intérêt des investisseurs pour les valeurs financières de nouvelle génération. -
Les regtechs aident les banques à se moderniser
La deuxième édition du Regtech Day a montré comment les start-up innovantes contribuent à insuffler du mouvement parmi les fonctions de contrôle interne et de conformité des grands établissements. -
La fraude par manipulation reste sous contrôle
L’Observatoire de la sécurité des moyens de paiement montre que les mesures prises par les banques et la collaboration avec les opérateurs télécom portent leurs fruits. -
Aberdeen va perdre 20 milliards de livres d’actifs gérés pour Phoenix
Phoenix va réinternaliser 20 milliards de livres d’actifs actuellement gérés par Aberdeen, a-t-il annoncé lors de la publication de ses résultats le 8 septembre. Actuellement, 5 milliards de livres sur les 39 milliards d’actifs du portefeuille d’annuities du groupe britannique sont gérés en interne. Il s’apprête à y ajouter 20 milliards de livres environ. Il s’agit d’une évolution dans la gestion des actifs annuities de Phoenix, en vue de réduire les coûts. Le groupe précise toutefois n’avoir aucune intention de devenir une société de gestion à part entière, ni de gérer des actifs externes.
Sujets d'actualité
Tous les sujetsETF à la Une
BNP Paribas AM se dote d’une gamme complète d’ETF actifs
La filiale de gestion de BNP Paribas vient de lancer six ETF « enhanced alpha » en s’appuyant sur ses équipes de gestion quantitative.
Les plus lus
- Le rachat de Mediobanca menace la fusion des gestions de Generali et BPCE
- BNP Paribas AM se dote d’une gamme complète d’ETF actifs
- En deux ans, les ETF «datés» ont réussi à se faire une place en Europe
- Comgest renouvelle son équipe de gestion actions européennes
- L’Union européenne cherche la clé d’une épargne retraite commune
Contenu de nos partenaires
A lire sur ...
-
Liberté d'expression au Royaume-Uni: Tommy Robinson, figure de l'extrême droite, mobilise les foules
Londres - Des dizaines de milliers de personnes sont attendues samedi à Londres à l’appel de Tommy Robinson, figure de l’extrême droite britannique, pour ce qu’il présente comme un rassemblement «pour la liberté d’expression», sujet qui agite le débat public au Royaume-Uni. Ce rendez-vous intervient après un été marqué par des manifestations anti-immigration devant des hôtels hébergeant des demandeurs d’asile, largement relayées sur les réseaux sociaux par l’activiste. Une contre-manifestation à l’initiative d’une organisation antiraciste, Stand Up To Racism UK, doit se dérouler samedi au même moment à la mi-journée, dans le centre de la capitale britannique. La police de Londres a indiqué qu’elle mobiliserait quelque 1.000 agents pour garantir que «les deux manifestations se déroulent pacifiquement». Tommy Robinson, 42 ans, de son vrai nom Stephen Yaxley-Lennon, est le fondateur de l’ex-groupuscule English Defence League (Ligue de défense anglaise), issu de la mouvance hooligan. «Marchez pour votre pays, marchez pour la liberté, marchez pour vos enfants et marchez pour Charlie Kirk», a-t-il déclaré jeudi sur X, en référence à l’influenceur conservateur américain Charlie Kirk, porte-drapeau de la jeunesse trumpiste, tué mercredi par balles aux États-Unis. Connu pour ses positions anti-immigration et anti-islam, Tommy Robinson a été condamné à plusieurs reprises, notamment pour troubles à l’ordre public. Il a été emprisonné en 2018 pour outrage au tribunal, puis en 2024 pour avoir répété des propos diffamatoires sur un réfugié. Libéré en mai, il avait notamment reçu le soutien du milliardaire américain Elon Musk. Plusieurs mobilisations de ses partisans ont par le passé rassemblé des milliers voire des dizaines de milliers de personnes, comme en juillet 2024 où ils étaient entre 20.000 et 30.000, selon des estimations de l’organisation antiraciste Hope Not Hate. Débat sur la liberté d’expression Tommy Robinson présente depuis des mois ce rassemblement comme «le plus grand jamais consacré à la liberté d’expression». Les participants sont appelés à se retrouver à 11H00 (10H00 GMT), avant de marcher en direction de Whitehall, cœur du pouvoir politique du pays. Les organisateurs ont annoncé la présence de plusieurs personnalités de la droite et de l’extrême droite britanniques et étrangères, dont Steve Bannon, l’ancien conseiller du président américain Donald Trump. Le président du parti français d’extrême droite Reconquête, Eric Zemmour, a confirmé sa présence. Ce sujet de la liberté d’expression, au cœur d’un débat public au Royaume-Uni depuis plusieurs mois, a été ravivé début septembre lorsque des policiers armés ont arrêté à l’aéroport londonien de Heathrow un créateur de séries accusé d’avoir diffusé des messages hostiles aux personnes transgenres. Le débat est le plus souvent soulevé par la droite et l’extrême droite, mais il a aussi été évoqué en lien avec les centaines d’arrestations de manifestants exprimant leur soutien au groupe Palestine Action, qui a été classé «organisation terroriste» par le gouvernement. Face au tollé, le Premier ministre Keir Starmer s’est dit «très fier» de la «longue tradition de liberté d’expression» dans le pays, qu’il «défendra toujours». Tommy Robinson doit à nouveau être jugé en octobre 2026 pour avoir refusé de donner le code PIN de son téléphone portable, que la police lui réclamait en vertu des pouvoirs étendus dont elle dispose dans le cadre de la loi sur le terrorisme de 2020. Alexandra DEL PERAL © Agence France-Presse -
Le premier déplacement de Sébastien Lecornu est consacré à la santé
Paris - Sébastien Lecornu se rend samedi en province, à Mâcon, pour son premier déplacement en tant que Premier ministre, délaissant pendant quelques heures les concertations qu’il mène activement à Paris avant de former un gouvernement. Quatre jours à peine après sa nomination, le nouveau et jeune (39 ans) locataire de Matignon va à la rencontre des Français pour qui il reste encore un inconnu. Il échangera notamment avec des salariés d’un centre de santé de la préfecture de Saône-et-Loire dont le but est d’améliorer l’accès aux soins. Il s’agit pour lui de convaincre l’opinion autant que les forces politiques du bien-fondé de sa méthode: trouver des terrains d’entente, en particulier sur le budget, permettant de gouverner sans majorité. Lui-même élu local de l’Eure, où il a été maire, président de département et sénateur, ce fils d’une secrétaire médicale et d’un technicien de l’aéronautique avait assuré dès le soir de sa nomination «mesurer les attentes» de ses concitoyens et «les difficultés» qu’ils rencontraient. Sébastien Lecornu est très proche d’Emmanuel Macron, avec qui il a encore longuement déjeuné vendredi à l’Elysée. Sa nomination coïncide avec plusieurs mouvements sociaux. Le jour de sa prise de fonction, une journée de mobilisation lancée sur les réseaux sociaux pour «bloquer» le pays a réuni 200.000 manifestants, et une autre journée de manifestations à l’appel des syndicats est prévue jeudi. Une parole sobre «Il y a une grande colère» chez les salariés, a rapporté Marylise Léon, la patronne de la CFDT, premier syndicat de France, à l’issue d’une entrevue vendredi avec le nouveau Premier ministre qui lui a dit travailler sur une «contribution des plus hauts revenus» dans le budget 2026. C’est sur le budget que ses deux prédécesseurs, François Bayrou et Michel Barnier, sont tombés. Et Sébastien Lecornu cherche en priorité une forme d’entente avec les socialistes. Mais il lui faut dans le même temps réduire les déficits, alors que l’agence de notation Fitch a dégradé vendredi soir la note de la dette française. Le centre et la droite de la coalition gouvernementale se disent prêts à taxer plus fortement les ultra-riches sans pour autant aller jusqu'à l’instauration de la taxe Zucman sur les plus hauts patrimoines, mesure phare brandie par les socialistes et dont LR ne veut pas. Une telle mesure marquerait en tout cas une des «ruptures» au fond prônées par Sébastien Lecornu à son arrivée, puisqu’elle briserait le tabou des hausses d’impôts de la macronie. Sébastien Lecornu veut aussi des changements de méthode. Il a d’abord réuni jeudi --pour la première fois depuis longtemps-- les dirigeants des partis du «socle commun», Renaissance, Horizons, MoDem et Les Républicains, afin qu’ils s’entendent sur quelques priorités communes. Un format «présidents de parti» qui «permet de travailler en confiance, de façon plus directe, pour échanger sur les idées politiques, sur les arbitrages», salue un participant. Une parole sobre Avant les oppositions et à quelques jours d’une deuxième journée de manifestations, il a consulté les partenaires sociaux, recevant vendredi la CFDT et Medef, avant la CGT lundi. En quête d’un compromis pour faire passer le budget, le chef de gouvernement pourrait repartir du plan de son prédécesseur François Bayrou délesté de ses mesures les plus controversées. A l’instar de la suppression de deux jours fériés. L’hypothèse d’une remise sur les rails du conclave sur les retraites semble aussi abandonnée. Les partenaires sociaux refusent de toute façon de le rouvrir. Des gestes sont attendus à l'égard des socialistes alors qu'à l’Elysée, on estime que le Rassemblement national, premier groupe à l’Assemblée nationale, se range désormais comme la France insoumise du côté du «dégagisme». Cultivant une parole sobre voire rare, Sébastien Lecornu ne s’exprimera qu'à l’issue de ces consultations «devant les Français», avant la traditionnelle déclaration de politique générale, devant le Parlement. Ministre depuis huit ans, il connaît bien les députés et le gouvernement sortant, dont il fait partie en tant que ministre démissionnaire des Armées. Anne RENAUT © Agence France-Presse -
Wall Street conclut en ordre dispersé avant la Fed la semaine prochaine
Washington - La Bourse de New York a terminé en ordre dispersé vendredi, tournée vers la réunion de la Réserve fédérale (Fed) la semaine prochaine, qui devrait aboutir à une baisse de taux pour la première fois de l’année. Le Dow Jones a perdu 0,59%, l’indice Nasdaq a pris 0,44% et l’indice élargi S&P 500 a clôturé non loin de l'équilibre (-0,05%). «Il n’y a pas eu de donnée économique aujourd’hui et nous sommes en pleine période de silence de la Fed, donc sans commentaire susceptible d’influencer le marché», commente auprès de l’AFP Christopher Low, de FHN Financial. Certes, les investisseurs ont accueilli en début de séance un indice de confiance des consommateurs inférieur aux attentes. Mais «cela correspond à ce que nous avons observé dans d’autres enquêtes et dans les mesures de l’activité économique: le marché de l’emploi est très faible», estime M. Low. C’est précisément ce constat qui devrait pousser la banque centrale américaine à assouplir sa politique monétaire afin de donner un coup de fouet à l'économie. Le comité de politique monétaire (FOMC) se réunira à partir de mardi, et rendra sa décision quant à l'évolution des taux le lendemain. Les analystes sont unanimes: les taux directeurs de la Fed devraient diminuer d’un quart de point de pourcentage la semaine prochaine, la première baisse depuis décembre 2024. Wall Street a «intégré la baisse de taux», assure Christopher Low. Mais la place américaine «ne sait pas quel type d’orientation nous allons obtenir». A l’issue de la réunion mercredi, «nous aurons de nouvelles prévisions économiques de la Fed» ce qui permettra aux investisseurs «d'évaluer le nombre de baisses qu’elle envisage à l’avenir», anticipe l’analyste. Sur le marché obligataire, le rendement des emprunts d’Etat américains à échéance 10 ans se tendait à 4,06% vers 20H25 GMT contre 4,02% la veille en clôture. A la cote, Microsoft (+1,77% à 509,90 dollars) a gagné du terrain, profitant de l’accord préliminaire avec OpenAI, à l’origine de ChatGPT. Microsoft est à la fois un actionnaire minoritaire et un partenaire commercial privilégié d’OpenAI dans lequel il a investi environ 13 milliards de dollars. Le fabricant de semi-conducteurs Micron a atteint un plus haut historique, à 157,23 dollars (+4,42%), après que les analystes de Citi ont relevé leurs anticipations sur le prix du titre de l’entreprise. Le groupe de médias Warner Bros Discovery a connu une deuxième journée d’envolée (+16,70% à 18,87 dollars) après des informations de presse publiées la veille assurant que son concurrent Paramount Skydance pourrait le racheter, et former ainsi un mastodonte du divertissement. La plateforme Gemini, spécialisée dans les cryptomonnaies, a connu une belle progression pour sa première journée à Wall Street. Fondée en 2014 par les frères jumeaux Cameron et Tyler Winklevoss, rendus célèbres par le film «The Social Network» sur la naissance de Facebook, l’entreprise avait fixé le prix de son action à 28 dollars pour son introduction en Bourse. Elle a finalement clôturé à 32,00 dollars vendredi. L’exploitant de parcs d’attractions Six Flags Entertainment (+7,77% à 23,45 dollars) profitait de l’annonce d’une fréquentation en hausse pour la période estivale et d’une forte demande pour les vacances à venir, notamment autour d’Halloween et Noël. Nasdaq © Agence France-Presse
