Cybersécurité des family offices

Dans de nombreuses enquêtes menées auprès des utilisateurs de logiciels de gestion de patrimoine, la cybersécurité est régulièrement la source de préoccupation la plus importante et la plus fréquemment identifiée. La violation potentielle du système informatique du family office et la perte de données confidentielles empêchent de nombreux membres du personnel des family offices de dormir la nuit.

Et pour une bonne raison. Une enquête menée par Boston Private et intitulée Étude du paysage des risques et des menaces auxquels sont confrontés les family offices a révélé que 26 % des family offices ont été victimes d'une cyberattaque. Alors que les cadres de sécurité traditionnels se concentrent sur le respect des obligations de conformité et la prévention de l'accès non autorisé aux données confidentielles, la cybersécurité en 2022 sera plus complexe et plus complète. La protection contre les violations de données et la perte de données confidentielles n'est qu'un élément d'un cadre de cybersécurité complet et multidimensionnel.

Tout comme le rôle du family office a évolué au fil des ans, ses responsabilités ont évolué également. Aujourd'hui, les family offices offrent plus à leurs clients plus que de simples caractéristiques et fonctions. Les family offices doivent également fournir l'infrastructure, les certifications sectorielles et les opérations nécessaires pour prendre en charge les opérations sécurisées et certifiées demandées par leurs clients. Les family offices doivent démontrer que les données hautement confidentielles de leurs clients sont sécurisées et que leurs opérations soutiennent la reprise après sinistre et une continuité des activités de premier ordre.

Les éditeurs de logiciels de gestion de patrimoine doivent désormais adopter une approche plus globale pour protégez les family offices contre de nombreuses menaces commerciales, notamment les cyberattaques, les violations de données et les acteurs malveillants internes et externes, tout en respectant les obligations de conformité, d'audit et de gouvernance. Les entreprises judicieuses reconnaissent qu'elles doivent fournir à leurs clients l'accès aux dernières avancées en matière de cybersécurité tout en maintenant un meilleur contrôle sur les données des clients, tout en offrant à leurs clients une flexibilité dans leurs opérations de sécurité.

Le champ d'action du family office va au-delà de ses logiciels et de ses données dans le monde connecté d'aujourd'hui. Les bureaux multifamiliaux (MFO) souhaitent offrir un accès et une intégration (API) fluides dans les systèmes internes de leurs différents clients. Leurs clients souhaitent utiliser ces API pour accéder à la gouvernance et utiliser les journaux pour les intégrer à leurs outils de conformité et de gouvernance d'entreprise.

En conséquence, les MFO veulent des cadres de cybersécurité plus dynamiques et plus flexible. Bien entendu, ils s'attendent à ce que les données et les systèmes soient sécurisés à la pointe de la technologie. Mais les MFO modernes visent également à utiliser ces fonctionnalités pour différencier leurs services et mieux positionner leurs offres auprès de leurs clients, en les mettant en avant pendant le cycle de vente pour remporter de nouvelles offres. En outre, ils utilisent l'infrastructure et les offres de leurs fournisseurs SaaS pour respecter leurs obligations contractuelles, telles que les tests stylo, la conformité à la norme SOC2, le suivi de l'accès aux données confidentielles, etc.

Les exigences essentielles en matière de cybersécurité des family offices attendues du fournisseur SaaS des family offices sont les suivantes :

• Flexibilité adaptée aux différents besoins de sécurité : Les fournisseurs de logiciels reconnaissent qu'un seul modèle de sécurité ne convient pas à tous. Certains family offices ont des exigences très sophistiquées et ont besoin d'un logiciel de gestion de patrimoine qui s'intègre parfaitement à leurs cadres de conformité et de surveillance de l'utilisation des identités. D'autres exigent que le family office SaaS offre intrinsèquement un service de sécurité sécurisé et géré, y compris la conformité SOC 2 et la gestion des incidents de sécurité.

• Services de cybersécurité gérés pour les family offices : La sécurité et la conformité sont les principales préoccupations des entreprises qui migrent vers le cloud. Avec une solution SaaS, le fournisseur SaaS gère les correctifs, la maintenance et les failles de sécurité, ce qui soulage le family office de cette responsabilité et réduit considérablement la charge opérationnelle et les risques du family office. Imaginez ne pas avoir à vous demander si l'équipe InfoSec du family office (qui est également généralement moins expérimentée que l'équipe InfoSec d'une organisation SaaS) a appliqué le dernier correctif pour contrer une récente vulnérabilité logicielle virale ou un logiciel malveillant qui détruit les services Internet. Ces services gérés incluent la reprise après sinistre et le soutien à la continuité des activités, ce qui permet d'atténuer les risques supplémentaires pour le bureau.

• Maturité héréditaire (conformité aux normes de sécurité du secteur et respect des obligations légales et contractuelles): De nombreux clients de logiciels de gestion de patrimoine exigent la conformité aux normes industrielles reconnues telles que SOC 2, ISO 27001, etc. Les family offices doivent également satisfaire aux exigences nationales en matière de résidence des données souveraines. En outre, ils doivent se conformer aux lois sur la protection des données telles que le RGPD dans l'UE, le CCPA en Californie et le New York DFS. La maturité héréditaire permet aux family offices d'hériter de l'infrastructure, de la maturité et des certifications de leur fournisseur SaaS en matière de sécurité, tout en les mettant à profit pour atteindre leurs propres objectifs commerciaux.

• Contrôle des données par le client: Pour répondre aux différents besoins de leurs clients, les family offices doivent rejoindre d'autres sociétés FinTech qui permettent aux clients de fournir leur propre clé de cryptage, c'est-à-dire la clé de cryptage fournie par le client (CSEK). Les family offices utilisent CSEK pour avoir une confiance totale dans le contrôle des données et garantir à leurs clients que seul le personnel autorisé peut accéder à leurs données puisqu'il contrôle les clés de cryptage. En outre, les MFO souhaitent disposer de la flexibilité nécessaire pour séparer les différentes données clients gérées par différents partenaires à l'aide de clés de chiffrement uniques distinctes pour chaque client et chaque relation.

• Surveillance des accès au niveau des transactions qui s'intègre aux outils de gouvernance des clients : Les fournisseurs SaaS SFO/MFO doivent fournir une excellente surveillance des accès au niveau transactionnel. Cela permet à leurs clients de respecter les obligations de gouvernance en matière de suivi de l'accès aux données confidentielles. Leurs clients souhaitent extraire ces journaux d'accès et les intégrer à leurs rapports de gouvernance et de conformité et à leurs outils de surveillance des accès. Grâce à ce dynamisme et à ces fonctionnalités améliorées, les clients peuvent suivre et analyser les transactions avec une plus grande granularité et intégrer ces métadonnées et télémétrie à des fonctionnalités de gouvernance et de reporting supplémentaires. Ces rapports et analyses contribuer à améliorer la gouvernance et à mieux comprendre le comportement des utilisateurs.

• Sécurité native du cloud qui permet des protocoles d'autorisation et d'accès sophistiqués : Une intégration Azure Active Directory native au cloud, comme dans AtlasFIVE®, permet à une équipe de répondre aux exigences très complexes de ses clients, une complexité impossible avec les modèles SSO traditionnels. Par exemple, une institution financière internationale peut souhaiter séparer son modèle d'autorisation SSO pour ses utilisateurs du modèle d'autorisation pour les connexions de ses clients. Un cadre de sécurité de haut niveau permettra à cette institution de disposer de trois domaines de sécurité distincts : un pour permettre aux utilisateurs d'accéder à la plateforme du family office, un autre Active Directory pour les clients (en les séparant de l'Active Directory interne) et un troisième pour l'équipe des opérations qui gère leur système SaaS.

Vous trouverez ci-dessous un aperçu de ce cadre de cybersécurité pour les family offices. Le logiciel, les fonctionnalités et les fonctions se situent « au-dessus de l'iceberg » et la sécurité est « en dessous de l'iceberg ».

Pour rester pertinent, le family office moderne devra faire évoluer sa gamme de services, et ces nouveaux services s'accompagnent de nouvelles responsabilités. Alors que le family office joue des rôles de plus en plus importants pour ses clients, il doit se concentrer sur la sécurité afin de répondre aux préoccupations croissantes des clients concernant les violations de données. Les family offices comprennent cette préoccupation des clients, 57 % d'entre eux ayant répondu à l'enquête menée par Boston Private ayant identifié le cyberrisque comme l'un des risques les plus importants auxquels ils sont confrontés.

La sécurité, et plus particulièrement la cybersécurité, est en train de passer d'une question secondaire à une pierre angulaire de l'argumentaire de vente du family office. Les bureaux qui ne répondent pas à cette transition avec une plateforme numérique flexible, comme AtlasFive, et des cadres de sécurité de premier ordre deviendra vulnérable et même obsolète. Dans ce nouvel environnement de sécurité en constante évolution, les family offices ont besoin plus plutôt qu'une application de family office ; ils ont besoin d'une solution sécurisée et certifiée par le secteur family office numérique.