Cybersécurité des bureaux familiaux

Dans de multiples enquêtes menées auprès des utilisateurs de logiciels de family office, la cybersécurité est toujours le sujet de préoccupation le plus important et le plus souvent identifié. La violation potentielle du système informatique du family office et la perte de données confidentielles empêchent de nombreux membres du personnel du family office de dormir.

Et pour cause. Une étude de Boston Private intitulée Surveying the Risk and Threat Landscape to Family Offices a révélé que 26 % des family offices ont subi une cyberattaque. Alors que les cadres de sécurité traditionnels se concentrent sur le respect des obligations de conformité et la prévention de l'accès non autorisé aux données confidentielles, la cybersécurité en 2022 est plus complexe et plus complète. La protection contre les violations de données et la perte de données confidentielles n'est qu'un élément d'un cadre de cybersécurité complet et à multiples facettes.

Le rôle du family office a évolué au fil des ans, tout comme ses responsabilités. Aujourd'hui, les family offices offrent à leurs clients bien plus que des caractéristiques et des fonctions. Ils doivent également fournir l'infrastructure, les certifications sectorielles et les opérations nécessaires pour soutenir les opérations sécurisées et certifiées que leurs clients exigent. Les family offices doivent démontrer que les données hautement confidentielles de leurs clients sont sécurisées et que leurs opérations permettent une reprise après sinistre et une continuité des activités de niveau international.

Les éditeurs de logiciels pour family offices doivent désormais adopter une approche plus globale pour protéger les family offices contre une multitude de menaces commerciales, notamment les cyberattaques, les violations de données et les mauvais acteurs internes et externes, tout en respectant les obligations en matière de conformité, d'audit et de gouvernance. Les entreprises avisées reconnaissent qu'elles doivent fournir à leurs clients un accès aux dernières avancées en matière de cybersécurité, tout en maintenant un meilleur contrôle sur les données des clients et en offrant à ces derniers une certaine flexibilité dans leurs opérations de sécurité.

Dans le monde connecté d'aujourd'hui, le champ d'action du family office s'étend au-delà de ses logiciels et de ses données. Les multi-family offices (MFO) veulent offrir un accès et une intégration transparents (API) dans les systèmes internes de leurs différents clients. Leurs clients veulent utiliser ces API pour accéder aux journaux de gouvernance et d'utilisation afin de les intégrer dans leurs outils de conformité et de gouvernance d'entreprise.

En conséquence, les OFM veulent des cadres de cybersécurité plus dynamiques et plus souples. Bien entendu, ils attendent une sécurité de pointe des données et des systèmes. Mais les MFO modernes cherchent également à utiliser ces capacités pour différencier leurs services et mieux positionner leurs offres pour leurs clients, en les mettant en avant au cours du cycle de vente pour gagner de nouveaux contrats. En outre, elles utilisent l'infrastructure et les offres de leurs fournisseurs SaaS pour remplir leurs obligations contractuelles, comme les tests d'intrusion, la conformité SOC2, le suivi de l'accès aux données confidentielles, etc.

Les exigences essentielles en matière de cybersécurité pour les family offices attendues du fournisseur de SaaS pour family offices sont les suivantes :

• Flexibilité permettant de répondre aux différents besoins en matière de sécurité : Les fournisseurs de logiciels reconnaissent qu'un modèle de sécurité unique ne convient pas à tous. Certains family offices ont des exigences très sophistiquées et ont besoin d'un logiciel pour family office qui s'intègre de manière transparente dans leurs cadres de conformité et de contrôle de l'utilisation de l'identité. D'autres exigent que le logiciel SaaS pour family office offre intrinsèquement un service de sécurité sécurisé et géré, y compris la conformité SOC 2 et la gestion des incidents de sécurité.

• Services de cybersécurité gérés pour les entreprises familiales : La sécurité et la conformité sont des préoccupations majeures pour les organisations qui adoptent le cloud. Avec une solution SaaS, le fournisseur SaaS s'occupe des correctifs, de la maintenance et des vulnérabilités de sécurité, ce qui décharge le family office de cette responsabilité et réduit considérablement la charge opérationnelle et le risque pour le family office. Imaginez que vous n'ayez pas à vous soucier de savoir si l'équipe InfoSec du family office (qui est aussi généralement moins expérimentée que l'équipe InfoSec d'une organisation SaaS) a appliqué le dernier correctif pour parer à une récente vulnérabilité logicielle virale ou à un logiciel malveillant qui perturbe les services internet. Ces services gérés comprennent la reprise après sinistre et le soutien à la continuité des activités, ce qui atténue les risques supplémentaires pour le bureau.

• Maturité héréditaire (conformité aux normes de sécurité du secteur et respect des obligations statutaires et contractuelles): De nombreux clients de logiciels pour family offices exigent la conformité avec des normes industrielles reconnues telles que SOC 2, ISO 27001 et autres. Les family offices doivent également répondre aux exigences nationales en matière de résidence des données. En outre, ils doivent se conformer à des lois sur la protection des données telles que le GDPR dans l'UE, le CCPA en Californie et le NY DFS. La maturité héritable permet aux family offices d'hériter de la maturité et des certifications de leur fournisseur SaaS en matière d'infrastructure et de sécurité, tout en l'exploitant pour leurs propres objectifs commerciaux.

• Contrôle des données par le client: Pour répondre aux besoins variés de leurs clients, les family offices doivent rejoindre d'autres sociétés FinTech qui permettent aux clients de fournir leur propre clé de cryptage, c'est-à-dire la clé de cryptage fournie par le client (Customer Supplied Encryption Key, CSEK). Les family offices utilisent la CSEK pour avoir une confiance totale dans le contrôle des données et assurer à leurs clients que seul le personnel autorisé peut accéder à leurs données puisqu'ils contrôlent les clés de chiffrement. En outre, les MFOs veulent avoir la possibilité de séparer les différentes données des clients qui sont gérées par divers partenaires en utilisant des clés de cryptage uniques et distinctes pour chaque client et chaque relation.

• Un contrôle d'accès au niveau des transactions qui s'intègre aux outils de gouvernance des clients : Les fournisseurs de SaaS SFO/MFO doivent offrir un excellent contrôle d'accès au niveau transactionnel. Cela permet à leurs clients de remplir leurs obligations de gouvernance en matière de suivi de l'accès aux données confidentielles. Leurs clients souhaitent extraire ces journaux d'accès et les intégrer à leurs rapports et outils de gouvernance et de conformité pour surveiller les accès. Grâce à ce dynamisme et à ces capacités améliorées, les clients peuvent suivre et analyser les transactions avec une plus grande granularité et intégrer ces métadonnées et cette télémétrie dans des capacités supplémentaires de gouvernance et de reporting. Ces rapports et analyses permettent d'améliorer la gouvernance et de mieux comprendre le comportement des utilisateurs.

• Une sécurité native dans le nuage qui permet des protocoles d'autorisation et d'accès sophistiqués : Une intégration Azure Active Directory native, comme dans AtlasFive®, permet à une équipe de prendre en charge des exigences très complexes de la part de ses clients - complexité qui n'est pas possible avec les modèles SSO traditionnels. Par exemple, une institution financière internationale peut vouloir séparer son modèle d'autorisation SSO pour ses utilisateurs du modèle d'autorisation pour les connexions de ses clients. Un cadre de sécurité de haut niveau permettra à cette institution d'avoir trois domaines de sécurité distincts : un pour les utilisateurs accédant à la plateforme du family office, un autre répertoire actif pour les clients (les séparant du répertoire actif interne), et un troisième pour l'équipe des opérations gérant leur système SaaS.

On trouvera ci-dessous un aperçu du cadre de cybersécurité d'un family office. Les logiciels, les caractéristiques et les fonctions sont "au-dessus de l'iceberg", et la sécurité est "en dessous de l'iceberg".

Pour rester pertinent, le family office moderne devra faire évoluer l'étendue de ses services - et ces nouveaux services s'accompagnent de nouvelles responsabilités. Alors que le family office joue un rôle de plus en plus important pour ses clients, il doit se concentrer sur la sécurité afin d'apaiser les inquiétudes croissantes des clients concernant les violations de données. Les family offices comprennent cette préoccupation des clients, puisque 57 % des family offices interrogés dans le cadre de l'enquête Boston Private ont identifié le cyber-risque comme l'un des risques les plus importants auxquels ils sont confrontés.

La sécurité, et plus particulièrement la cybersécurité, est en train de passer du statut d'élément secondaire à celui de clé de voûte de l'argumentaire de vente du family office. Les bureaux qui ne réagissent pas à cette transition avec une plateforme numérique flexible, comme AtlasFIve, et des cadres de sécurité de classe mondiale deviendront vulnérables, voire obsolètes. Dans ce nouvel environnement de sécurité en constante évolution, les family offices ont besoin de plus qu'une application de family office, ils ont besoin d'un family office numérique sécurisé et certifié par l'industrie.