Imaginez que vous travailliez à rééquilibrer un portefeuille de clients et que soudainement l'écran de l'ordinateur soit vide. Un message apparaît exigeant une rançon de 10 000 $ payée dans l'heure, sinon le disque dur entier sera effacé. Vous craignez de perdre des mois de travail, mais l'information volée serait bien pire. Vous devez informer les clients de la violation de la sécurité, beaucoup partiraient probablement, et vous pourriez même être condamné à une amende par la FINRA.

Ce scénario peut sembler sortir d'un film, mais c'est en fait une forme de plus en plus répandue de cyberattaque connue sous le nom de ransomware. Ces types d'attaques peuvent provenir de quelque chose d'aussi inoffensif qu'un e-mail d'un collègue avec un virus déguisé en feuille de calcul ou en facture. De nombreux conseillers financiers sont mal préparés pour prévenir ce type d'attaques, car elles deviennent de plus en plus courantes dans le monde actuel axé sur la technologie.

Dans cet article, nous verrons pourquoi la cybersécurité est devenue une priorité pour les autorités de réglementation et pourquoi elle devrait s'adresser à tous les conseillers financiers, quelle que soit leur taille. (Pour plus d'informations, voir: 7 Conseils de cybersécurité pour les conseillers. )

Accent sur la réglementation

La Securities and Exchange Commission des États-Unis (SEC) a commencé à examiner de plus près les questions de cybersécurité. Plus de 100 courtiers et conseillers en placement ont été nommés en 2014. Après avoir dévoilé ses conclusions au mois de février suivant, l'agence a annoncé une nouvelle série d'examens d'ici septembre. La SEC et la FINRA ont placé la cybersécurité en tête de leur liste prioritaire en 2016, ce qui pourrait déboucher sur de nouvelles activités d'application en 2016 et 2017. (Pour en savoir plus, voir: Les conseillers se sentent en situation d'insécurité cybernétique ) <

Ces agences examinent régulièrement les contrôles de sécurité des conseillers financiers au moyen de tests et d'évaluations. Dans de nombreux cas, ces examens pourraient mener à un nombre croissant de mesures d'application visant à encourager les conseillers à améliorer leur infrastructure de sécurité. Les principaux domaines d'intervention des agences incluent la gouvernance, les droits d'accès, la prévention de la perte de données, la formation et la réponse aux incidents, entre autres sujets. (Pour les lectures connexes, voir:

Ce que les conseillers doivent savoir sur le référencement, les médias sociaux .) Au cours de ces examens, les régulateurs demandent les politiques et procédures de sécurité de l'entreprise, interrogent les membres du personnel et demandent des informations. sur les incidents de sécurité que l'entreprise a déjà vécus. Les conseillers financiers devraient être prêts à répondre à toutes les questions présentes dans les directives existantes des agences, tout en répondant à des questions plus techniques et détaillées qui pourraient être posées pour plus de clarté. (Pour une lecture connexe, voir:

Quels conseillers, les clients devraient s'attendre à un avenir à faible rendement . Les conseillers financiers devraient concentrer leurs efforts sur deux domaines lorsqu'il s'agit de respecter les exigences en matière de cybersécurité et de protéger les données des clients. Le premier domaine d'intérêt est la technologie qui garantit que les données du client sont sécurisées et permet d'éviter tout problème dès le début. Le deuxième domaine d'intérêt est la documentation qui aide à répondre aux exigences réglementaires et garantit que des politiques sont en place pour régir l'installation et la maintenance des solutions technologiques. (Pour plus de détails, voir:

Ce que les conseillers peuvent apprendre de Robo-Advisors .) Solutions technologiques

De nombreux types de technologies sont utilisés pour sécuriser les réseaux et empêcher les cybercriminels de accéder à des informations sensibles. Dans la plupart des cas, les conseillers financiers devraient travailler avec des consultants en technologie de l'information pour sélectionner les technologies appropriées et s'assurer qu'elles sont correctement installées. Il peut également être utile que ces consultants forment des membres du personnel afin d'éviter ce qui est souvent le maillon faible: les humains. Les technologies les plus importantes à implémenter sont les suivantes:

Firewall matériel:

• Empêche l'accès non autorisé d'un réseau informatique provenant de sources extérieures par des listes blanches - liste toutes les connexions approuvées et bloque toutes les autres. Cryptage logiciel:
• Sécurise les données sensibles en les rendant illisibles par quiconque ne possède pas la clé de cryptage ou la phrase secrète. Gestion des accès:
• Veille à ce que tous les conseillers d'une pratique aient leurs propres comptes séparés, afin d'éviter qu'une violation ne compromette toutes les données. Antivirus / spyware:
• Empêche l'installation et la propagation de virus et de logiciels espions sur les ordinateurs connectés à un réseau et met en quarantaine les virus qui existent déjà. Accès distant sécurisé:
• Sécurise l'accès aux ordinateurs d'un réseau à partir de conseillers qui travaillent à la maison ou loin du bureau via une communication cryptée. Cryptage des supports portables:
• S'assure que les clés USB et les ordinateurs portables volés sont verrouillés en cas de vol afin de protéger les informations sensibles des clients. Mises à jour logicielles:
• Garantit que toutes les solutions logicielles installées sur un ordinateur sont mises à jour afin de fermer les failles de sécurité découvertes par le fournisseur. Formation du personnel:
• Aide le personnel à comprendre comment éviter les principaux risques de sécurité qui ont tendance à être le point d'entrée le plus commun pour les cybercriminels. Documentation appropriée

La FINRA et la SEC ont des exigences en matière de documentation qui ont tendance à apparaître lorsque ces organismes procèdent à des examens. Dans de nombreux cas, la documentation des procédures de sécurité est aussi importante que les mesures de sécurité réelles en ce qui concerne les mesures d'application.

L'Initiative de cybersécurité du Bureau de la conformité et de l'examen de la SEC et l'Initiative d'examen de la cybersécurité 2015 sont de bons endroits pour commencer. Dans le document, l'organisme de réglementation a mis l'accent sur la gouvernance et l'évaluation des risques, les droits d'accès et les contrôles, la prévention des pertes de données, la gestion des fournisseurs et la formation.(Pour plus de détails, voir:

Conseils d'âge numérique pour les conseillers financiers. ) Par exemple, la section droits et contrôles d'accès décrit les exigences suivantes:

Politiques et procédures d'entreprise concernant l'accès ex., politique de contrôle d'accès, politique d'utilisation acceptable, gestion administrative des systèmes et politique de sécurité de l'information de l'entreprise), y compris celles qui traitent de ce qui suit: Établir les droits d'accès des employés, y compris ceux de l'employé. rôle ou appartenance à un groupe; Mettre à jour ou mettre fin aux droits d'accès en fonction des changements de personnel ou de système; et, toute approbation de gestion requise pour les modifications apportées aux droits d'accès ou aux contrôles. (Pour plus de détails, voir:

Gestion des attentes des clients dans un environnement volatil .) Les conseillers financiers doivent lire attentivement ces exigences et s'assurer qu'ils sont en mesure de répondre à ces questions à l'avance. Toute incapacité à répondre à ces questions et préoccupations pourrait mener à des mesures d'exécution. (Pour les lectures connexes, voir:

Les conseillers doivent se concentrer sur leur propre retraite, plans de relève .) Conclusion

La cybersécurité reste une priorité parmi les régulateurs de la SEC et de la FINRA en matière de cybersécurité. les incidents sont à la hausse. Pour les conseillers financiers, il est plus important que jamais de sécuriser les données avec la technologie et de s'assurer que tout est documenté pour les régulateurs. Ceux qui ne parviennent pas à résoudre ces problèmes pourraient être confrontés à un risque croissant de mesures réglementaires, d'amendes et d'autres conséquences à mesure que les politiques arrivent à maturité sur le plan réglementaire. (Pour plus d'informations, voir:

Éduquer vos clients sur la cybersécurité. )