AM Tech Day : La cybersécurité prend de l'ampleur dans les sociétés de gestion

France
Le 09/10/19 à 07h23

par

Réjane Reibaud

(C. Philbert)

Les directions générales des sociétés de gestion ont tout intérêt à se mêler des problématiques de cybersécurité. C'est l'une des conclusions de la table ronde sur la cybersécurité organisée par L'Agefi à l'AM Tech Day 2019 ce 8 octobre. " Il y a un an, le sujet de la cybersécurité n'était pas du tout une question de direction générale, mais nous sommes obligés de nous y intéresser alors qu'aujourd'hui, dans une offre d'e-banking, les deux tiers des coûts concernent le package de sécurité à mettre autour et ce coût est en train de flamber", a ainsi expliqué Hervé Mercier-Ythier, directeur général délégué d'UBS en France. Si l'e-banking n'était pas une obligation par rapport à la typologie plutôt âgée de la clientèle de la banque privée, lorsque qu'UBS s'y est mis en France "cela a rajouté une énorme couche de coûts sur un élément clef de notre activité qui est la garantie de la confidentialité des données".

Le dirigeant a expliqué que cela a créé aussi une "perturbation colossale, avec des outils où tout est lent pour pouvoir entrer dans les interfaces de l’entreprise et c’est extrêmement désagréable". Il a aussi cité l'exemple de la maison mère en Suisse qui disposait d'une solution de e-banking très bien adoptée par les clients suisses, mais qui n’a pas du tout fonctionné en France" car nos clients n’étaient pas habitués à passer toutes les étapes de sécurité. Surtout, par rapport à la pratique de l’e-banking en France, c’était beaucoup trop compliqué et desservait l’expérience clients. On a dû travailler à rendre tout cela beaucoup plus fluide à l’aide d’une autre application".

Enfin, il a aussi montré l'importance de s'assurer pour la banque que ses prestataires externes font également attention à la cybersécurité: "Quand on a un contrat d’externalisation, c’est un cauchemar que de faire remplir par le fournisseur de services le questionnaire très pointu qu’on lui demande de nous garantir et prendre des responsabilité lourdes en cas de défaut".

Philippe Duluc, chief technology officer chez Atos, a rappelé l'importance de protéger l'entreprise car les attaques cyber se multiplient. Il a indiqué que des progrès avaient été faits en matière de détection puisque d'après les statistiques d'Atos, il s'écoule environ 150 à 200 jours entre le moment où un hacker est entré dans l’entreprise et sa détection, un délai deux fois plus court qu'il y a quelques années.

Le risque cyber est dans le Top 3 des risques identifiés par les asset managers

Pour Wilfried Lauber, responsable de la sécurité des systèmes d'information d'Axa Investment Managers, et président du groupe de travail sur la cybersécurité à l'AFG, le risque cyber est dans le Top 3 des risques identifiés par les asset managers français. C'est le résultat d'une étude de l'AFG sur la question réalisée début 2018. " Il y a une prise de conscience réelle liée aux attaques qui ont été rendues publiques comme NotPetya. On a pu chiffrer que le coût moyen d'une attaque, qui varie avec la taille de l'entreprise, peut être de 15 millions d'euros en moyenne. Pour un groupe comme Saint Gobain qui a fait un avertissement sur résultats, le coût était de 300 millions d’euros. C’est un risque que l’on peut chiffrer désormais et les SGP en tiennent compte dans leur plan d’analyse où elles étudient les différents types d’attaques, les scénarios, les impacts sur l’entreprise et la façon dont elles peuvent redémarrer", a-t-il expliqué. Le premier risque cyber identifié est celui de l'indisponibilité du système d’information ou celui qui est lié étroitement lié au "ranson ware". Le deuxième est celui lié au vol d’informations de la part d’une entreprise concurrente et enfin, troisième risque, celui lié au régulateur qui impose de plus en plus de contraintes en la matière et n'hésite pas à sanctionner en cas de failles de sécurité.

"Le niveau de maturité de l'asset manager en matière de protection va souvent être fonction de sa taille, de son activité, de sa présence sur internet, etc. Les asset managers sont en général moins exposés que les banques surtout celles qui sont en ligne, mais la grande majorité des SGP ont bel et bien engagé des plans de cybersécurité", affirme Wilfried Lauber.

Il a rappelé que la RGPD, la directive sur la protection des données mise en place en mai 2018, avait permis d'activer un certain nombre de plans cyber mais beaucoup d’asset managers avaient déjà travaillé dessus avant. Avec les sanctions réglementaires, la visibilité de ces plans à l’intérieur même des entreprises s’est en effet beaucoup accrue. L'avocat Stéphane Astier (Haas Avocats) a ainsi estimé que "beaucoup de directions générale se sont rendues compte que la patate chaude qu’elles avaient laissée aux DSI devait être traitée en raison de la montée des sanctions et des potentiels comptes à rendre aux conseils d’administration de ces mêmes sociétés ». Il a toutefois estimé qu'il y avait encore "un énorme boulot de sensibilisation et de formation à faire au sein des entreprises vis-à-vis des salariés et du top management".

Testez gratuitement NewsManagers pendant 4 semaines !

Suivez l’actualité de l’asset management en temps réel et recevez notre newsletter quotidienne dès 8h30