Family Offices : intéressez-vous à vos données !

FAMILY OFFICES : INTÉRESSEZ-VOUS À VOS DONNÉES AVANT QUE QUELQU’UN D’AUTRE LE FASSE

« Nos clients sont des personnes riches qui sont souvent connues. L’attention qu’elles attirent, qu’elle soit voulue ou non, fait de leur « Family Office » une cible potentielle pour des cybercriminels. » analyse Florian Silnicki, Expert en communication de crise et Fondateur de l’agence LaFrenchCom.

De nombreux Family Offices gèrent des biens et des investissements, comme une société, mais avec potentiellement un moindre degré de gouvernance et de normes de sécurité. Si les grandes banques qui génèrent la richesse d’une famille disposent vraisemblablement de mesures de sécurité et d’employés bien formés, les Family Offices peuvent quant à elles bien souvent opérer dans un lieu à part et ne pas disposer des mêmes ressources.

De plus, il est fréquent que les Family Offices aient une structure managériale horizontale et un petit nombre d’employés, pour réduire les coûts d’exploitation. Or, qui dit petit nombre d’employés veut dire accès à un grand nombre d’informations sensibles par quelques-uns, alors que dans une plus grande organisation, l’accès serait compartimenté entre un plus grand nombre de personnes.

Les Family Offices, avec un petit nombre d’employés ayant reçu une formation limitée et employant une approche informelle de la sécurité des données, sont vulnérables. Mais ce n’est pas seulement la gestion de richesses qui les rend vulnérables aux cyberattaques ou violations de données. En effet, en plus de gérer des investissements, les employés de nombreux Family Offices se chargent aussi de tâches comme l’organisation de voyages, le règlement de factures, etc., qui les exposent à des tentatives de hameçonnage.

Quand les membres de la famille se trouvent dans un pays situé dans un différent fuseau horaire, les employés peuvent parfois travailler à des heures inhabituelles et répondre aux demandes dès que possible. La réactivité peut alors prendre le pas sur la cybersécurité.

La cybersécurité d’un Family Office doit être une synthèse de stratégie de protection de la vie privée et d’audits de protection des données. La violation de données commence généralement par une tentative pour obtenir des informations sensibles comme un nom d’utilisateur, un mot de passe ou des données financières en se faisant passer pour une entité connue, à laquelle la personne fait confiance, dans un texto ou un e-mail (hameçonnage).

La tentative de hameçonnage aura d’autant plus de chance de réussir si les informations contenues dans le texto ou l’e-mail sont crédibles. Notre monde interconnecté nous incite à mentionner des centaines d’informations en apparence anodine, sans valeurs et sans lien sur les réseaux sociaux, les applis, etc. Ces informations d’ordre privé peuvent être croisées avec des informations figurant dans le domaine public, comme les registres de commerce, les registres fonciers, les informations boursières. Le simple fait d’agréger toutes les pièces du puzzle que constitue votre vie peut permettre de se faire une idée très précise de vous pour ceux qui souhaitent vous attaquer. 

Auditer toutes les informations vous concernant et disponibles sur Internet vous permettra de voir les recoupements pouvant être faits et les informations pouvant en être déduites sur votre vie privée, et pouvant être utilisées dans le cadre d’une cyberattaque. Ce n’est qu’après avoir pris la mesure de toutes les informations disponibles sur vous qu’il sera possible d’anticiper les risques.

Un audit de protection des données commence par l’analyse des sites, employés et biens avec lesquels travaille le Family Office. Combien de lieux d’habitation, bureaux et autres sites comme des yachts font partie du réseau physique ? Combien de juridictions sont concernées et y a-t-il des transferts de données vers ou à partir de l’UE ? Combien d’employés travaillent pour le Family Office ? Combien de prestataires interviennent ponctuellement auprès de la famille en question ? Quelles plateformes et quels supports les membres de la famille utilisent-ils pour communiquer entre eux et quel niveau de cryptage est utilisé ? Combien d’opérations d’investissement y a-t-il au cours d’un mois donné ? Combien de liens avec des banques la famille a-t-elle ? Combien de structures juridiques emploient du personnel ? Combien de biens requièrent une gestion active ?

Les réponses à ces questions permettront de définir un cycle de vie des données autour du Family Office et, plus précisément, d’établir quelles informations sont collectées, stockées et traitées par l’organisation. Ces réponses permettront aussi de déterminer s’il est nécessaire de nommer un délégué à la protection des données pour le Family Office. Cela dépendra du nombre de personnes dont les données sont traitées et de la durée du traitement, du volume et du degré de sensibilité de ces données et de l’étendue géographique de l’activité des principales personnes.

En cas de violation de données, il y a quatre étapes à suivre pour bien gérer la situation : (1) détection et confinement, (2) reprise et évaluation des risques continus, (3) notification et (4) réparation et analyse. 

La première étape de la gestion d’une violation de donnée est définie par les quatre objectifs techniques de détection, confinement, identification et protection. La détection de la source et l’ampleur de la violation est cruciale. Mettez en place une quarantaine en isolant les systèmes infectés et en réduisant les points d’entrée dans ce système, qu’un criminel pourrait utiliser pour en extraire des données. C’est une étape préliminaire pour identifier la cause de la violation, sa durée et son impact. Enfin, il faut impérativement préserver toutes les informations nécessaires pour une enquête ultérieure, comme des fichiers journaux de serveur et des métadonnées, tout en réduisant autant que possible l’impact sur l’activité du Family Office.

Les violations de données ont généralement des répercussions sur plus d’un pays ou une juridiction. Dans certains pays, la notification des autorités règlementaires (par ex. l’Information Commissioner’s Office au Royaume-Uni) et des personnes concernées est obligatoire. Il y aura probablement aussi d’autres tierces parties à informer, comme les assureurs, les banques et les autorités règlementaires pour les paiements par carte bancaire. Dans certains pays, les délais pour notifier les autorités règlementaires ou les personnes concernées sont limités dans le temps. En effet, les Family Offices basés dans l’Union européenne ne disposent que de 72 heures à partir de la détection d’une violation pour notifier leur régulateur et aussi potentiellement les personnes concernées.

Donc que doivent faire les Family Offices ?

Compte tenu de ces délais très courts, les Family Offices doivent impérativement, en plus d’ÉVALUER leur capacité de résistance à une cyberattaque, disposer d’une stratégie claire et bien définie pour la gestion d’une violation de données. Cette stratégie de gestion de crise nécessite :

1. une équipe où les rôles, attentes et formations sont clairement définis
2. un registre ou journal interne des violations de données créé et mis à jour. Les données doivent être stockées dans le respect de mesures de sécurité appropriées, déterminées en fonction de leur valeur et leur degré de sensibilité.
3. Tout le personnel doit être formé à détecter les activités et comportements suspects sur Internet.
4. Les clauses portant sur la protection des données doivent aussi être réexaminées pour s’assurer qu’elles exigent des sous-traitants et autres gestionnaires de données qu’ils notifient proactivement le Family Office de toute violation qu’ils aient subie, et toutes les polices d’assurance doivent être relues pour évaluer le niveau de protection en cas de violation.

Des recherches menées par LaFrenchCom ont révélé que 28 % des Family Offices avaient été la cible de cyberattaques par le passé et que, parmi celles-ci, 77 % avaient été la cible de tentatives de hameçonnages. Les Family Offices doivent donc reconnaitre qu’elles peuvent être ciblées par des cyberattaques. 

Elles doivent commencer par s’intéresser à leurs données avant que quelqu’un d’autre le fasse.