Cybersécurité des familles fortunées Cybersécurité des familles fortunées Cybersécurité des familles fortunées

Ces dernières années, les cyberattaques se sont multipliées et font des victimes dans tous les milieux. Mais le risque est particulièrement élevé pour les familles très fortunées. Pourquoi? Parce qu'elles sont soumises à des dynamiques financières et commerciales complexes et interconnectées et qu'en raison des ramifications liées à la propriété et du risque de réputation, il est encore plus difficile de gérer le problème. Si la sophistication croissante des attaques visant ces familles est préoccupante, l'amélioration constante des techniques de détection, d'atténuation et d'intervention pour les contrer devrait être une source de réconfort.

Par le biais de leurs entreprises, des liens familiaux ou de leurs investissements, les familles les plus fortunées sont davantage exposées aux fraudes et aux attaques par hameçonnage ou rançongiciel. La transformation rapide des capacités numériques en contexte de pandémie n'a fait qu'exacerber cette situation pour de nombreuses familles.

Il faut savoir que les processus et les procédures qui fonctionnaient bien dans un environnement de bureau peuvent se révéler inefficaces dans un contexte de télétravail ou hybride. Or, même les moins technophiles sont maintenant contraints de recourir au vidéoclavardage et à d'autres canaux numériques. Ces changements ont créé de nouvelles vulnérabilités que les cybercriminels ont rapidement su exploiter.

La situation se complique encore lorsque ces vulnérabilités entraînent des conséquences autres que financières. Par exemple, certaines familles répondent aux attaques de rançongiciel en payant simplement la rançon. Si cette réponse permet d'éviter une interruption des activités, elle n'en crée pas moins une atteinte à la vie privée. Nous avons tous droit au respect de notre vie privée. En outre, payer ne garantit pas que les attaquants ne récidiveront pas, ni qu'ils ne divulgueront pas des informations privées ou délicates.

De même, une cyberattaque contre l'entreprise d'un membre de la famille pourrait perturber l'ensemble des activités familiales en raison, entre autres, de la fragilité actuelle des chaînes d'approvisionnement. La vie privée de la famille pourrait aussi être touchée. Il se peut que certains membres de la famille s'inquiètent peu de la protection de leur vie privée – il est courant que les gens partagent des informations privées concernant leur fortune ou autres sur les médias sociaux. Mais en rassemblant les informations personnelles publiées sur ces plateformes, les cybercriminels peuvent mener des opérations d'hameçonnage contre l'ensemble de la famille, exposant ainsi toutes les personnes concernées au risque de réputation.

Cartographie des risques et construction de remparts
Pour se protéger contre les cybermenaces sophistiquées, les familles doivent adopter une approche de gestion des risques d'entreprise (GRE) qui tient compte de l'interconnexion entre vie professionnelle et vie privée. Il arrive qu'il y ait chevauchement des risques entre les affaires de l'entreprise et les affaires personnelles, ou encore entre membres de la famille ou entre divers investissements. Ainsi, un manque de rigueur dans la gestion des médias sociaux ou des investissements privés (échange de messages à ce sujet avec l'entreprise au moyen d'un compte de courriel générique, p. ex.) pourrait permettre à des pirates d'accéder à des informations confidentielles.

L'approche GRE repose sur une stratégie qui permet, avec le soutien d'un conseiller de confiance en matière de risques de sécurité, de repérer les risques avant qu'une attaque ne se produise, de mettre en place des mécanismes de gouvernance et de surveillance, de gérer ces risques et d'en rendre compte. Le conseiller choisi doit avoir une vue globale de la situation familiale, tant dans la sphère publique que dans la sphère privée, afin d'être en mesure de fournir des conseils efficaces sur l'utilisation de nouvelles technologies, telles que l'authentification multifactorielle et le VPN virtuel, ou sur les changements de comportement à adopter (applications et sites à ne pas utiliser, solutions de rechange plus sûres, etc.).

L'approche GRE vise à créer une culture de sensibilisation aux risques qui s'étend non seulement à l'ensemble de l'entreprise familiale, mais aussi à la famille elle-même. Cela signifie qu'il faut s'assurer que même les enfants et les fournisseurs sont conscients de l'importance de reconnaître et d'atténuer les risques, par exemple en ne partageant pas trop d'informations sur les médias sociaux.

Une telle approche commence par la cartographie des risques en « cercles », en examinant les personnes et l'infrastructure les plus proches de la famille – les courtiers en investissement, par exemple, et autres détenteurs de données – puis en passant au cercle suivant, comme le personnel de bureau et de maison, et enfin les fournisseurs et autres parties prenantes. Il s'agit ensuite d'élever des « remparts » autour de chacun des cercles, en identifiant et en contrant les risques qui lui sont propres.

Il est intéressant de noter à quel point le simple fait d'engager la discussion, de créer une prise de conscience initiale et de fournir des conseils de base peut faire une grande différence. La gestion des risques est d'une importance vitale pour les familles et leurs membres. En en prenant conscience et en créant une culture de gestion des risques à l'échelle de la famille et de l'entreprise, vous faites en sorte que tout le monde soit mieux placé pour avoir toujours au moins une longueur d'avance sur la menace.