Prévention essentielle : la cybersécurité n'a jamais été aussi importante

Sep 21, 2023

Illustration par OYOW

Au Royaume-Uni, The Pension Regulator, le groupe de réglementation qui protège les régimes de retraite en milieu de travail, a averti plus de 300 régimes de retraite que leurs régimes pourraient avoir été compromis par une violation de données chez Capita, un tiers administrateur des régimes basé à Londres. . Bien qu'il semble qu'aucune donnée sur les participants n'ait été touchée, une enquête est en cours. Capita dispose de données sur des centaines de milliers de participants à des régimes de retraite britanniques, et l'impact potentiel d'une violation est important.

L'attaque - et une autre aux États-Unis contre la plateforme de portabilité des comptes de retraite The Retirement Clearinghouse qui a eu lieu en mars - souligne la nécessité pour les investisseurs institutionnels d'accorder une attention particulière à la cybersécurité, non seulement en interne, mais aussi chez les fournisseurs et dans leurs investissements.

Les cyberattaques se multiplient et les répartiteurs, les investisseurs et les régimes de retraite constituent tous des cibles de grande valeur. La façon dont les adversaires ciblent les organisations devient également plus sophistiquée. Dans certains cas, les organisations peuvent même ne pas savoir que leurs systèmes sont compromis si un attaquant a trompé quelqu'un pour qu'il divulgue volontairement des informations.

Les régulateurs financiers tentent de rattraper la menace croissante : aux États-Unis, la Securities and Exchange Commission et le ministère du Travail ont récemment publié de nouvelles directives et propositions en matière de cybersécurité pour les répartiteurs, les gestionnaires d'actifs et les courtiers/négociants.

En matière de cybersécurité, les investisseurs institutionnels doivent réfléchir à plusieurs niveaux. En interne, l'organisation elle-même doit être protégée et ses employés formés pour minimiser les vulnérabilités. Au niveau des fournisseurs, les répartiteurs ont tendance à se regrouper dans les mêmes fournisseurs, et cette tendance pourrait jouer contre eux, comme avec Capita, s'ils sont tous confrontés à la même attaque en même temps. Enfin, les allocataires doivent tenir compte du risque en termes de diligence raisonnable sur leurs investissements.

"Le problème, à ce jour, a été largement mal analysé comme un problème technique/opérationnel", a déclaré Larry Clinton, président et chef de la direction de l'Internet Security Alliance, basée à Washington, s'exprimant lors du Forum by CIO en mai. La cybersécurité "est un problème de gestion des risques à l'échelle de l'entreprise".

Dans les opérations quotidiennes, les pratiques de cybersécurité sont souvent décriées. Tout le monde connaît et déteste le processus consistant à avoir un mot de passe "fort" de 14 caractères impossible à retenir, puis à recevoir un texte avec un code, puis à dire à un robot que vous n'êtes pas un robot avant d'être finalement autorisé à vous connecter. La biométrie est peut-être plus facile, mais est-ce que quelqu'un veut vraiment donner des données biométriques à un employeur ?

Ainsi, tout le monde se retrouve à mot de passe, code, puzzle, connexion. Même avec tout cela, les données de PwC indiquent que seulement 14 % des entreprises ont survécu au cours des trois dernières années sans violation de données. Perry Carpenter, responsable de la stratégie de la société de formation en cybersécurité KnowBe4, affirme qu'une grande partie du problème réside dans l'approche de la cybersécurité.

"Tout ce que nous avons à faire est de regarder autour de nous et de voir que ce n'est en aucun cas un problème résolu", dit-il. "Beaucoup de nos procédures vont à l'encontre de la nature humaine, et cela incite les gens à vouloir se retirer. Souvent, les organisations n'investissent pas dans des systèmes de mise à jour et de correctifs réguliers, ce qui les rend vulnérables. Si vous vous concentrez sur les correctifs et travaillez sur l'humain niveau, vous pourriez déjouer 90% des attaques."

Selon Carpenter, travailler "au niveau humain" implique plus qu'une formation de base en cybersécurité qui rappelle aux gens de faire attention aux e-mails de phishing ; cela implique également de réfléchir aux différentes manières dont les gens accèdent aux systèmes et de rendre aussi simple que possible la sécurisation de cet environnement.

"Le fait d'empiler les pas sur les gens va les inciter à chercher des moyens de contourner les marches", explique-t-il. "Une fois qu'ils le feront, ils seront heureux, mais ils viennent également de trouver une vulnérabilité dans votre système. Il est probable que des adversaires l'ont ou la trouveront aussi."

Carpenter ajoute que les technologues ont tendance à penser que les nouvelles technologies résoudront tout. Le personnel de la cybersécurité peut se concentrer sur la mise en place de la technologie de sécurité la plus récente, mais cela signifie que les anciens systèmes deviennent obsolètes, créant de nouveaux points d'entrée pour les adversaires numériques. « L'application de correctifs est une pratique importante, car il suffit d'un seul point d'entrée et un système peut être compromis », déclare Carpenter. "Vous pourriez espérer que le nouveau système l'attrapera, mais ils ne le font souvent pas avant qu'il ne soit trop tard."

Clinton, dont l'organisation, avec la National Association of Corporate Directors, a publié des directives sur les cyber-risques pour les conseils d'administration mondiaux, a conseillé : « Les conseils d'administration devraient considérer les cyber-risques d'un point de vue à l'échelle de l'entreprise et comprendre les impacts juridiques potentiels. Ils devraient discuter les risques de cybersécurité et la préparation avec la direction et d'examiner les cybermenaces dans le contexte de la tolérance globale de l'organisation au risque. »

Le processus et les correctifs sont tout aussi importants pour les fournisseurs. Les allocataires devraient interroger les entreprises avec lesquelles ils travaillent sur leur approche de la cybersécurité. Jack Tamposi, directeur associé de la pratique institutionnelle américaine du cabinet de conseil Cerulli Associates, affirme que la cybersécurité est l'un des services les plus souvent externalisés, et que les fournisseurs de cybersécurité fournissent également des conseils sur les questions de conformité et de réglementation. Cela signifie que les allocataires doivent demander si leurs administrateurs et d'autres fournisseurs tiers, comme Capita, sous-traitent leur cybersécurité et, si c'est le cas, à quoi ressemble ce processus.

Kristopher 'Kriffy' Perez, co-fondateur de Global PayTech Ventures et conseiller principal au Future Today Institute, a récemment fait l'expérience directe de ce que signifie appliquer la diligence raisonnable aux fournisseurs. Perez donne des conseils sur la cybersécurité du point de vue des investisseurs grâce à son travail chez Future Today et réalise également des investissements dans des sociétés de services financiers grâce à son travail chez Global PayTech Ventures.

Perez a récemment révisé le processus tiers de Global PayTech après qu'un adversaire a eu accès au système et s'est fait passer pour un membre de l'équipe d'investissement par e-mail. L'adversaire a failli s'ajouter comme contact avec la banque de Global PayTech et a même créé de fausses adresses e-mail de partenaires pour donner l'impression que tout le monde était à bord.

Ce type d'attaque, appelé compromission des e-mails professionnels, cible souvent les investisseurs et les sociétés financières, car il est difficile à détecter et peut entraîner des virements électroniques réussis vers l'adversaire avant que quiconque ne reconnaisse la violation. Récupérer ces transferts, s'ils ont été volontairement autorisés par une personne semblant travailler pour l'investisseur, est difficile. Dans le cas de Perez, l'attaque a été détectée par des systèmes de sécurité tiers avant que l'argent ne change de mains, mais cela a conduit à un examen interne des relations avec les fournisseurs.

"Quand quelqu'un vous dit qu'il a été attrapé et que cela ne se reproduira plus, vous dites:" OK, mais c'était une attaque assez élaborée "", dit-il. "Nous avons estimé qu'il était nécessaire d'examiner ce que nous pouvions faire pour augmenter la complexité de notre protection."

Le personnel de Perez a également suivi un programme de formation approfondie en cybersécurité fourni par la banque de l'entreprise pour s'assurer que son personnel était sur la même longueur d'onde. "Il y a une opportunité quand quelque chose arrive pour renforcer le processus", dit Perez. "Les gens s'en soucient davantage ; ils ne sont pas complaisants."

La conformité est un élément central de tout programme de cybersécurité. Sans cela, les investisseurs peuvent se retrouver avec des investissements ratés ou des problèmes fiduciaires si des protections adéquates ne sont pas en place.

Gerry Stegmaier, associé du groupe technologie et données du cabinet d'avocats Reed Smith, déclare que d'un point de vue fiduciaire, il est important d'opérationnaliser la supervision de la cybersécurité.

"La distance entre la salle des serveurs et la salle du conseil d'administration devient très courte, et tout le monde, des investisseurs aux régulateurs, commence à se rendre compte que la cybersécurité n'est pas un exercice à cocher, c'est une question de gouvernance matérielle", a-t-il déclaré.

Les remarques de Clinton ont souligné des points similaires. Il a déclaré qu'il était crucial que les conseils d'administration comprennent que "la cybersécurité n'est pas une question d'appendice centrée sur l'informatique, mais doit plutôt être intégrée dans le souffle des décisions commerciales à l'échelle de l'entreprise", ajoutant que "les conseils d'administration devraient s'attendre à ce que la direction être en mesure d'évaluer le risque cyber en termes empiriques et économiques cohérents avec le plan d'affaires."

À cette fin, Stegmaier dit que les investisseurs - qu'ils examinent leur propre processus, les processus des fournisseurs ou fassent preuve de diligence sur un investissement potentiel - devraient rechercher l'adoption formelle d'un programme de cybersécurité ; évaluer régulièrement ce programme ; et recherchez le respect de normes spécifiques comme ISO/IEC 27001, qui est une norme internationale de gestion de la sécurité des informations.

"Vous voulez être en mesure d'examiner la répétabilité, la durabilité et la démontrabilité d'un programme de cybersécurité", dit-il.

Ce cadre devrait s'appliquer même si un allocataire cherche simplement à devenir un commanditaire d'un fonds d'investissement, et non à investir directement dans des sociétés spécifiques.

"Souvent, la façon dont un gestionnaire d'actifs aborde la cybersécurité dans son fonds est un indicateur de la manière dont il le fera en aval dans les sociétés de portefeuille ou d'autres investissements", explique Stegmaier.

La mise en place de tels processus peut également contribuer à atténuer les risques fiduciaires.

"La sécurité parfaite n'existe pas", déclare Stegmaier. "Il y a donc une tendance à se concentrer sur la résilience : à quelle vitesse pouvons-nous réagir lorsque quelque chose se produit ? Mais si vous faites cela, vous allez intégrer dans votre programme un sous-investissement dans la prévention, la détection et la réponse corrective. Vous' Nous allons avoir beaucoup plus d'incidents qui seraient autrement facilement évitables. Et d'un point de vue juridique, il y a une probabilité beaucoup plus grande que votre performance soit jugée inadéquate.

Mots clés: Cerulli Associates, cyber-risque, Cybersécurité, violation de données, Département du travail, Gerry Stegmaier, Global PayTech Ventures, Internet Security Alliance, Jack Tamposi, KnowBe4, Larry Clinton, Association nationale des administrateurs de sociétés, Perry Carpenter, Reed Smith, Securities and Commission de change, couverture spéciale : gestion des risques, l'organisme de réglementation des pensions, la chambre de compensation pour la retraite

" Un article du GPIF du Japon propose une nouvelle façon de comparer les alts avec les actifs traditionnels