Les pirates représentent un risque important pour les conseillers financiers, non seulement en termes de temps et d'argent, mais aussi en termes de réputation. Les conseillers dépensent une confiance professionnelle de construction à vie qui peut être érodée en un clic de souris.

Dans un discours prononcé en juin 2015, Luis Aguilar, ancien commissaire de la Securities and Exchange Commission (SEC), a qualifié le secteur financier de «cible primaire» pour les cybercriminels internationaux. Une grande banque américaine aurait été attaquée 30 000 fois en une seule semaine, en moyenne une fois toutes les 34 secondes. (Pour en savoir plus, voir: Les conseillers financiers se sentent en situation d'insécurité cybernétique .)

AD:

Les cybercriminels devraient entraîner des pertes financières totales de 450 milliards de dollars cette année. Les attaques se présentent sous diverses formes - du vol d'identité par force brute au rançongiciel, en passant par des techniques de harponnage sophistiquées. Les attaques contre de grandes entreprises comme eBay, JPMorgan Chase ou Home Depot peuvent faire les gros titres, mais les experts estiment que les petites entreprises doivent être tout aussi vigilantes et ne pas supposer qu'elles sont sous le radar parce qu'elles ne sont pas un nom familier.

AD:

Vol d'identité

Selon une récente étude de Symantec, les voleurs d'identité ont atteint 429 millions de dossiers en 2015, en hausse de 23% de l'année précédente. Et parce que les entreprises ne signalent pas pleinement l'étendue de leurs violations, le nombre réel d'identités compromises pourrait être plus élevé. Une estimation prudente, dit Symantec, ferait passer le nombre d'identités réellement exposées à plus de 500 millions.

AD:

Neuf violations à elles seules ont exposé plus de 10 millions d'identités. Mais de nombreuses petites attaques ne font jamais la nouvelle. La violation moyenne a exposé moins de 5 000 identités. Malgré la difficulté à quantifier l'ampleur du problème, les raisons de ces vols sont aussi simples que l'offre et la demande. Aguilar a déclaré que le marché estimé pour les cartes de crédit volées est plus important que le marché de la cocaïne de 29 milliards de dollars.

Les retombées du vol d'identité peuvent être graves. Il est coûteux d'informer les clients et embarrassant de leur parler d'une violation. Le défaut de protéger les identités des clients peut vous aller à l'encontre des lois régissant la vie privée, entraînant des pénalités ou des interdictions. (Pour les lectures connexes, voir: 7 Conseils de cybersécurité pour les conseillers financiers. )

Ransomware

Selon le rapport de Symantec, les attaques par rançonneurs ont augmenté de 35% en 2015. Dans ces attaques, les pirates un ordinateur individuel ou un réseau, puis exiger le paiement, parfois en Bitcoin. Dans un autre type d'attaque ransomware, les pirates informatiques chiffrent des fichiers individuels, puis demandent une rançon en échange de la clé de chiffrement.

Spear Phishing

Les attaques de phishing ont atteint 1 305 en 2015, contre 814 l'année précédente, selon Symantec.Et le secteur financier était la cible principale, avec 35% des attaques dirigées contre des sociétés financières, d'assurance ou immobilières. En outre, ces types d'attaques deviennent plus furtifs, disent les experts. Symantec affirme qu'un certain nombre de groupes, y compris des groupes sponsorisés par l'Etat, ont été impliqués dans des attaques de spear phishing en 2015.

Attentes accrues

Parallèlement à l'incidence des cyberattaques, les attentes des clients envers la sécurité ont augmenté ces dernières années. Alors, ayez les attentes des régulateurs. Dans un avis publié en janvier 2015, la North American Securities Administrators Association a averti les investisseurs qu'ils devraient discuter de cybersécurité avec leurs conseillers.

Dans son discours, M. Aguilar a déclaré qu'il était "décevant" que tant d'entreprises n'aient pas pris de mesures de base pour atténuer la menace des cyberattaques. Beaucoup n'ont pas désigné d'agent de sécurité de l'information ou de cyberassurance. (Pour plus de détails, voir: Informer les clients sur la cybersécurité .)

Exigences de conformité

La SEC a adopté un règlement sur la conformité et l'intégrité des systèmes en novembre 2014 qui exige la déclaration d'intrusions significatives Dans les 24 heures. Le règlement couvre les bourses et les infrastructures modèles. Mais il a été considéré comme un modèle de réglementation dans la mesure où il est axé sur le risque - encourageant les entreprises à concentrer leurs ressources préventives sur les systèmes les plus susceptibles de causer des préjudices - et encourage l'engagement des hauts dirigeants au niveau du conseil d'administration. responsabilité.

La division de l'application de la SEC enquête sur les violations, y compris les scénarios dans lesquels les conseillers en placement ne parviennent pas à protéger les informations confidentielles des clients. En 2015, la Division de la gestion des investissements de la Commission a publié des directives en matière de cybersécurité: testez périodiquement vos systèmes de technologie de l'information, élaborez une stratégie de cybersécurité et formez les employés à la mise en œuvre.

Les experts affirment que les ressources humaines d'une entreprise constituent souvent sa plus grande vulnérabilité. Une étude récente d'IBM a révélé que les initiés étaient responsables de la majorité des violations de la sécurité informatique. Même lorsqu'ils ne perturbent pas intentionnellement les systèmes, les employés peuvent par inadvertance laisser la porte ouverte aux voleurs. (Pour plus d'informations, voir: SEC aux conseillers: Mettre en œuvre des plans de sécurité informatique .)

Outre la formation des employés aux meilleures pratiques, telles que la sécurisation d'un mot de passe et l'identification devrait avoir des politiques écrites qui définissent les procédures en cas d'attaque cybernétique et les mesures prises pour prévenir les violations. La North American Securities Administrators Association souligne l'importance des politiques écrites.

Dans ses récents examens, la SEC a constaté que de nombreuses entreprises appliquaient de telles politiques mais omettaient souvent de préciser comment elles détermineraient les pertes subies par les clients à la suite d'une attaque. Dans un récent examen, la SEC a constaté que de nombreuses entreprises n'avaient pas procédé à des évaluations des risques de leurs fournisseurs tiers, les laissant exposées et vulnérables aux attaques exploitant des relations avec des fournisseurs externes.L'important est de faire preuve de diligence raisonnable pour montrer aux régulateurs que vous avez pris les menaces au sérieux.

The Bottom Line

Les cybercriminels sont en hausse et deviennent de plus en plus sophistiqués. Les conseillers doivent avoir un système en place pour se protéger contre eux et s'assurer qu'ils se conforment aux règlements. (Pour en savoir plus, voir: Cybercrime: astuces pour éviter une catastrophe .)