Êtes-vous en train de vous adapter à vos risques spécifiques ?
Il semble que toutes les conversations de conseil d’administration que j’ai récemment abordent un défi qui traverse les secteurs d’activité, mais qui est particulièrement en tête des préoccupations des sociétés de gestion de patrimoine : la cybersécurité.
Il n’y a rien d’étonnant à cela, avec les récents titres des principaux médias, tels que “Votre gestionnaire de patrimoine est-il la cible d’une cyberattaque ?” Ajoutez à cela des amendes de plusieurs millions de dollars pour des violations de données et les commentaires ce mois-ci, selon lesquels la cybersécurité est le plus grand risque auquel sont confrontées les entreprises financières : “Ce que nous avons constaté, de manière générale jusqu’à présent, c’est beaucoup de préparation, beaucoup de sensibilisation, mais aussi que leurs politiques et procédures ne sont pas adaptées à leurs risques particuliers.”
Je vois la plupart des cadres de la gestion de patrimoine s’accommoder d’une dure vérité – une cyber-attaque n’est plus un “si” mais un “quand”. Le plan de jeu le plus sûr est probablement de supposer que vos murs virtuels seront violés, mais assurez-vous que votre plan de cybersécurité couvre un arrêt rapide dans la zone affectée, avec des plans de secours pour que les affaires continuent aussi normalement que possible.
Tant d’entreprises sont déjà ancrées dans un écosystème de partenaires, ce qui est bénéfique pour les affaires mais difficile pour leur profil de risque. Le cyber-risque de vos partenaires est devenu le vôtre – et ce fait rend nombre d’entre vous nerveux, ce qui est compréhensible. Les points d’entrée potentiels pour une brèche ont augmenté de façon exponentielle à mesure que les écosystèmes continuent de se former, et beaucoup d’entre eux se situent en dehors de votre champ d’action habituel.
L’une des premières questions que posent nos experts est de savoir si vos systèmes et infrastructures technologiques sont intégrés aux efforts généraux de gestion du risque opérationnel ? Le risque opérationnel et l’appétit qu’il suscite par rapport à la conduite normale des affaires est une préoccupation majeure pour bon nombre des dirigeants avec lesquels je m’entretiens lors de mes déplacements. Et pourtant, la plupart d’entre eux n’ont pas mis en place un cadre de bout en bout qui relie le directeur des risques, le directeur de l’information et le directeur des opérations.
La gestion du risque opérationnel est un élément essentiel de la stratégie de l’entreprise.
Dans de nombreuses entreprises financières, malgré des dépenses importantes en matière de cybersécurité au cours des dernières années, les informations critiques sont toujours exposées à un risque élevé. Alors que le secteur se numérise pour répondre aux demandes des consommateurs, chaque porte numérique qu’une institution financière ouvre pour mieux servir les clients (mobilité, cloud, etc.), ouvre également de nouvelles vulnérabilités.
.
Nous pensons que les entreprises financières doivent adopter une approche de la cybersécurité plus large et fondée sur l’intelligence, en tenant compte des nouvelles menaces telles que le climat géopolitique, le risque lié aux tiers et les initiés exposés. Et les équipes dirigeantes doivent redoubler d’efforts pour insister sur le fait que la cybersécurité est intégrée dans l’entreprise – produits, services et investissements numériques – afin de favoriser une cyber-résilience durable.