Les cyberattaques se multiplient sur les investisseurs fortunés
« Simon! Je suis tellement ravi que nous ayons conclu un accord pour une œuvre d’art aussi emblématique. Comme je le dis toujours, nous ne sommes pas propriétaires; mais les gardiens. De nouvelles coordonnées bancaires jointes, juste pour être prudent. Mes salutations à Amanda – et j’espère que le rhume des enfants disparaîtra!
Un e-mail comme celui-ci a failli coûter 6 millions de livres sterling à un riche collectionneur britannique. Il avait été envoyé au family office qui gérait ses finances par des criminels se faisant passer pour un véritable marchand d’art, avec qui le collectionneur négociait depuis un an.
« [The] client est venu écran pour écran avec des hackers lors d’une transaction de 6 millions de livres sterling », se souvient Paul Westall, fondateur d’Agreus, une société britannique qui recrute du personnel pour les family offices. «Toute la correspondance se faisait par e-mail – dans les deux sens. . . Lorsqu’ils furent enfin parvenus à une conclusion sur le prix, [the client] a reçu un e-mail pour dire quelque chose du genre, j’espère que les enfants se remettent de leur rhume – nous venons de modifier nos coordonnées bancaires pour des raisons de sécurité et les voici. «
Comme cela ressemblait à des e-mails précédents, le client amateur d’art a répondu. Heureusement, son family office a alors démontré sa force: une structure bâtie sur la responsabilité personnelle. Quelqu’un au bureau a téléphoné au vrai concessionnaire pour vérifier la transaction avant d’approuver un transfert.
Il a ensuite été découvert que des pirates avaient surveillé toute la correspondance par courrier électronique, apprenant à se faire passer pour le ton et la langue utilisés – même glanant des nouvelles familiales privées et les noms des partenaires et des enfants.
Les problèmes de cybersécurité se sont multipliés avec le développement rapide de la technologie numérique dans la gestion de patrimoine. Si la portée mondiale instantanée d’Internet a apporté aux familles riches de nombreuses nouvelles opportunités d’investissement, elle a également accru l’exposition à la cybercriminalité.
La pandémie de Covid-19, qui a contraint de nombreux riches et les responsables de leur family office à travailler à domicile, a encore accru les opportunités pour les fraudeurs d’exploiter les liens de communication.
«Alors que nous numérisons et commençons à travailler à domicile, les vecteurs d’attaque ont augmenté de façon exponentielle», déclare Oliver Gregson, directeur général de JPMorgan’s Private Bank à Londres. «La prévalence de la pandémie de Covid-19 est beaucoup plus élevée.»
Le gestionnaire de fortune britannique Brewin Dolphin, qui sert plus de 80 000 clients privés, organismes de bienfaisance et fonds de pension, est également conscient du risque accru.
L’approche des investisseurs individuels et de leurs conseillers est similaire aux attaques contre les family offices. «Dans les tentatives que nous avons vues, le scénario est généralement qu’un client est contacté par un fraudeur se faisant passer pour les autorités», déclare Simon Mair, responsable de la confidentialité et de la sécurité des informations chez Brewin Dolphin. «Ensuite, ils inventent une excuse plausible pour laquelle le client devrait nous retirer ses investissements et les transférer sur un autre compte, qui finit par être celui des fraudeurs. Ils peuvent configurer des adresses e-mail très similaires aux nôtres et imiter les couleurs de l’entreprise afin que leurs e-mails et même leur propre site Web semblent très convaincants. »
Mair ajoute: «Bien que nous n’ayons pas vu d’augmentation des menaces ou d’inquiétude à leur sujet, la menace est réelle. Les fraudeurs sont désormais hautement plausibles et sophistiqués. »
Une enquête en ligne de 2020 auprès de 200 dirigeants de family offices, menée par Boston Private, un groupe d’investissement avec 14 milliards de dollars sous gestion, a révélé que 26% avaient subi une cyberattaque.
Comme même les plus grands family offices ne disposent pas des ressources de sécurité des banques ou des sociétés commerciales internationales, ils sont une cible tentante. Il en va de même pour les investisseurs aux moyens plus modestes – et leurs conseillers financiers.
Jim Bertles, directeur général du gestionnaire de fortune Tiedemann Advisors, déclare: «Comme ils manquent souvent de personnel important et de systèmes et de procédures approfondis en matière de cybersécurité, ils peuvent être considérés comme vulnérables, sinon plus, aux failles numériques.» Il observe: «Le manque d’infrastructure des family offices permet aux criminels de découvrir plus facilement leurs empreintes physiques et numériques.»
C’est certainement plus facile que de pirater une banque bien défendue, souligne Gary Hales, vice-président senior chez Apex Group, qui fournit des services commerciaux aux gestionnaires d’actifs et aux family offices. «Les entreprises et les institutions ont investi des milliers de milliards pour se protéger contre les cybercriminels», dit-il. «Family offices. . . assis sur des actifs tout aussi importants, mais sans les mesures de sécurité institutionnelles strictes en place. . . sont souvent perçus comme des «fruits plus faciles» par les pirates. »
Les échecs de mise à niveau des logiciels de base tels que les e-mails et les feuilles de calcul vers des formats plus sophistiqués et plus sûrs – ou même vers le personnel vétérinaire – sont répandus.
Si le personnel n’est pas correctement contrôlé, les fraudeurs peuvent opérer aussi bien à l’intérieur qu’à l’extérieur de l’opération. À Atreus, Westall dit qu’une famille avec une entreprise gérant des chalets de ski a récemment pris contact après avoir été frappée par un tel crime. «Ils ont réalisé que leur personnel, chargé de la conception et de la décoration des chalets, avait dépensé 50 000 £ en bougies, dont 40 000 £ avaient été forgées.»
L’étude de Boston Private a révélé que 28% des family offices n’avaient pas examiné les risques posés par leurs systèmes informatiques tiers, tandis que 81% n’avaient pas procédé à des vérifications périodiques des antécédents du personnel.
Gregson dit que cela laisse les family offices ouverts à trois types de cyberattaques: le phishing (les criminels envoient de faux messages demandant des informations financières); fraude aux paiements de gros (des criminels envoient des instructions de paiement aux banques); et l’usurpation d’identité (des criminels manipulant des comptes de messagerie pour se faire passer pour de véritables bénéficiaires).
Mais, avec les verrouillages de coronavirus qui dépendent de plus en plus des communications électroniques, une autre forme d’attaque par courrier électronique est en augmentation. JPMorgan Private Bank signale une «augmentation spectaculaire» de l’envoi de ransomwares: des logiciels malveillants cachés qui empêchent un individu ou une entreprise d’accéder à leurs systèmes informatiques ou à leurs données jusqu’à ce qu’une rançon soit payée.
Pourquoi, alors, tant de family offices ne renforcent-ils pas leurs défenses? Selon Robert Stover Jr, une entreprise familiale et chef de file du family office chez EY, le fait d’avoir moins d’exigences réglementaires en matière de sécurité est un facteur. «Les family offices ont une barre plus basse à respecter du point de vue de la réglementation, en particulier par rapport aux sociétés financières enregistrées.»
Eric Gordon, directeur du Ayco Family Office de Goldman Sachs, suggère que le laxisme est devenu une habitude. «Dans de nombreux cas, les single-family offices ont une séparation des tâches limitée en raison de modèles de dotation en personnel allégés, et si cette personne de référence avec un contrôle important est violée, alors l’ensemble du family office peut être affecté.
Plus le bureau est petit, plus il est difficile de suivre le rythme du numérique. L’enquête de Boston Private a révélé que seulement 31% des petits family offices avaient mis en œuvre des mesures de cybersécurité, contre 60% des grandes opérations.
Beaucoup ont également eu du mal à obtenir une aide externe: 35% des family offices ont déclaré que trouver un bon fournisseur tiers de systèmes de gestion des risques était un défi majeur.
Une fois les systèmes en place, il s’agit de maintenir les défenses, explique JPMorgan Private Bank. Il demande aux clients de se tenir au courant des dernières versions logicielles, de sauvegarder régulièrement les données et de disposer d’un plan de reprise après sinistre pour les fonctions commerciales critiques. En lock-out, la banque a également insisté sur la nécessité de séparer les réseaux personnels et professionnels et de crypter les communications via un réseau privé virtuel.
Parfois, le simple bon sens est la meilleure défense. Bertles croit en la duplication et en vérifiant tout. «Les mesures supplémentaires que les family offices peuvent mettre en œuvre incluent l’authentification à deux facteurs, nécessitant plusieurs signatures pour les documents sensibles, la confirmation vocale pour les virements électroniques.»
Carly Doshi, responsable de la planification et du conseil patrimoniaux pour les Amériques chez HSBC Private Banking, en convient. «Les employés sont la« première ligne de défense »d’un family office dans la lutte contre les risques de sécurité.»
Et elle n’est pas opposée aux méthodes démodées de la pandémie actuelle. «Un avocat du family office que je connais a acheté un coffre-fort antivol et ignifuge pour stocker les documents confidentiels des clients à la maison pendant le verrouillage, pour ne citer qu’un exemple.»