Estimer la Cybersécurité des Fintechs : Quatre Questions Fondamentales à Poser par les Détenteurs de Patrimoine

Temps de lecture : 5 minutes
Temps de lecture : 5 minutes
Les fntechs introduisent des méthodes innovantes pour comprendre et gérer les portefeuilles les plus divers. Si vous envisagez de travailler avec l'un de ces nouveaux venus du secteur financier de manière indépendante - c'est-à-dire sans passer par l'une de vos banques ou l'un de vos autres prestataires de services institutionnels - vous devez poser quatre questions de base sur la sécurité de leurs données. Cet article examine ces questions et fournit des conseils sur l'évaluation des réponses.

Les fintechs, abréviation de "financial technology" companies, sont une race relativement nouvelle d'entreprises centrées sur le numérique qui proposent un ensemble restreint de services financiers répondant à des problèmes particuliers, par exemple dans le domaine de la banque mobile, des prêts P2P ou du robo-conseil, pour n'en citer que quelques-uns.

Altoo est une société fintech basée à Zoug qui s'attaque aux défis rencontrés par les personnes fortunées pour obtenir des vues d'ensemble simples et basées sur des données de leur patrimoine complexe et diversifié. La Plateforme Altoo Wealth s'intègre de manière transparente dans les écosystèmes financiers globaux des clients, qui impliquent souvent des relations multiples avec des fournisseurs de services financiers traditionnels tels que les banques, les dépositaires et les gestionnaires de patrimoine. La plateforme consolide, analyse et visualise automatiquement les données actuelles sur les actifs provenant de toutes les sources institutionnelles - ainsi que les données sur les actifs non bancaires liés à l'immobilier, au capital-investissement et même aux actifs de style de vie tels que les voitures et les objets de collection - afin de permettre une prise de décision éclairée en tenant compte de la richesse totale.

Lorsque l'on envisage de travailler avec une fintech, il est facile de se concentrer sur les caractéristiques intéressantes ou les nouvelles possibilités qu'elle offre. Une sécurité des données supérieure peut sembler aller de soi pour une entreprise opérant dans le secteur financier, qui est très réglementé dans pratiquement tous les pays développés.

Cependant, les réglementations financières ne tiennent souvent pas compte des nuances des technologies de pointe. Il existe un risque réel qu'un fournisseur de services fintech donne la priorité à l'innovation au détriment d'une solide sécurité des données. 

Les grandes lignes des données financières

Vue d'ensemble : Les données financières restent une cible privilégiée pour les pirates, quelle que soit leur localisation

Vue d'ensemble : Les données financières restent une cible privilégiée pour les pirates, quelle que soit leur localisation

En matière de cybersécurité, la première chose à savoir sur les fintechs est qu'elles travaillent avec les mêmes types de données que les institutions financières traditionnelles. Ces informations très sensibles sont très attrayantes pour les cyberattaquants.

L'assureur mondial AON a identifié les cyberattaques et les violations de données comme les principaux risques auxquels sont confrontées les institutions financières.. En 2023, IBM a constaté que les violations de données dans le secteur financier étaient les deuxièmes plus coûteuses, tous secteurs confondus, et qu'elles coûtaient en moyenne $5,9 millions d'euros par incident.. Et en 2022, INTERPOL a classé la criminalité financière et la cybercriminalité - qui sont de plus en plus liées, les malfaiteurs cherchant à exploiter les technologies numériques pour blanchir de l'argent - au premier rang des préoccupations policières mondiales.

Les criminels recherchent en permanence les faiblesses des systèmes de sécurité des technologies financières. Sur l'ensemble des violations de données traitées par Kroll, spécialiste du conseil et du renseignement en matière de risques, en 2023, les plus nombreux se trouvaient dans l'industrie financière. Kroll a mis en évidence plusieurs cas de banques régionales de petite ou moyenne taille touchées par des attaques de ransomware qui ont volé les données des clients des partenaires tiers des banques. Bien que Kroll n'ait pas divulgué de détails sur ces partenaires, il convient de noter que de nombreuses fintechs entrent dans cette vaste catégorie d'entreprises avec lesquelles les institutions financières partagent des données.

4-Questions simples sur la cybersécurité à poser aux entreprises du secteur des technologies de l'information

Quatre questions simples à poser aux fintechs en matière de cybersécurité

Quatre questions simples à poser aux fintechs en matière de cybersécurité

Quelles mesures pouvez-vous prendre pour vous protéger lorsque vous vous aventurez dans le monde de la fintech ? Surtout si vous n'avez pas de connaissances techniques ? Voici quatre questions simples (qui devraient donner lieu à des réponses compréhensibles) à poser à un fournisseur de services fintech : 

01 Où êtes-vous basé ?

L'emplacement du siège social d'une fintech - ou de sa succursale avec laquelle vous serez en contact - peut être un indicateur clé des exigences légales régissant ses pratiques en matière de confidentialité et de sécurité des données.

Par exemple, toutes les entreprises qui traitent avec des citoyens de l'UE doivent se conformer au règlement général sur la protection des données (RGPD), qui exige des mesures de traitement et de protection des données personnelles contre l'utilisation et l'accès non autorisés.

Un autre exemple est la deuxième directive de l'UE sur les services de paiement (PSD2). Cette directive exige que les institutions financières basées dans l'UE facilitent le partage sécurisé des données relatives aux paiements des clients avec des fournisseurs tiers autorisés (comme certaines fintechs) par le biais de connexions de données correctement sécurisées, connues sous le nom d'interfaces de programmation d'applications (API). Ce partage ne se fait qu'avec le consentement explicite du client.

N'oubliez pas que les exigences légales visant à garantir la confidentialité et la sécurité des données financières sont loin d'être universelles dans le monde. À bien des égards, l'Union européenne a ouvert la voie dans ce domaine, et plusieurs autres juridictions ont intégré des politiques similaires dans leur législation locale. La loi fédérale suisse sur la protection des données est un exemple majeur. Il convient de noter que les législateurs américains ont proposé des règles de type GDPR au niveau fédéral, mais qu'aucune mesure officielle n'a été prise jusqu'à présent.

Si la fintech que vous évaluez est basée en dehors de l'UE et qu'elle transmettra les données d'un citoyen de l'UE, vous voudrez certainement poser une question complémentaire pour savoir si sa technologie s'aligne sur des normes de sécurité des données similaires à celles établies dans l'UE - en particulier en ce qui concerne les API. Ces connexions de données jouent un rôle crucial dans les modèles opérationnels de nombreuses fintechs, qui impliquent souvent la collecte d'informations telles que l'historique des transactions, les soldes des comptes et les informations sur les prêts auprès des institutions d'origine. Bien que la DSP2 soit spécifique à l'UE, elle représente une référence mondiale pour la sécurisation des connexions de données financières.

02 Pouvez-vous expliquer en termes simples votre approche globale de la cybersécurité ?

Selon la Harvard Business Review, l'erreur humaine est responsable de plus de 80% des incidents de cybersécurité. Les pirates informatiques ciblent souvent les employés mal formés pour exploiter les vulnérabilités.

Un moyen simple de juger des efforts déployés par une fintech pour former les membres de son équipe à la cybersécurité est d'évaluer les efforts qu'elle déploie pour former les membres de son équipe à la cybersécurité. vous à ce sujet.

Lors de l'évaluation d'un fournisseur de services fintech, demandez une vue d'ensemble de ses mesures de sécurité technologique. Bien que cette vue d'ensemble puisse impliquer des concepts techniques complexes, ils doivent être expliqués de manière simple et compréhensible.

N'oubliez pas : La fintech en question existe pour servir des personnes comme vous. Si les dirigeants de la fintech n'accordent pas la priorité à l'accessibilité de leurs pratiques de sécurité, cela peut être le signe de difficultés similaires dans les efforts de formation interne de l'organisation.

03 Prenez-vous en charge plus de deux facteurs d'authentification de l'accès ?

En termes simples, les facteurs d'authentification de l'accès sont les obstacles qu'un utilisateur doit franchir avant d'utiliser un service numérique. Un facteur peut être un mot de passe en ligne, tandis qu'un autre peut être un code généré par une application d'authentification sur téléphone portable ou envoyé par SMS.

Il est fort probable que vos fournisseurs de services financiers actuels utilisent déjà au moins l'authentification à deux facteurs (2FA), qui est monnaie courante dans le secteur.

La prise en charge de l'authentification à trois facteurs (3FA) indique qu'une fintech fait un effort supplémentaire pour protéger les données de ses clients. Le troisième facteur peut être - et c'est le cas chez Altoo - un certificat installé sur l'appareil de l'utilisateur et vérifié à chaque fois que l'utilisateur se connecte au système avec cet appareil particulier.

04 Possédez-vous tout votre matériel de stockage de données ?

Chaque fintech dispose d'un large éventail d'options en matière de stockage des données. Chaque option implique une combinaison de logiciels (systèmes de gestion des données) et de matériel (machines physiques hébergeant les logiciels).

Les fintechs n'ont pas nécessairement besoin de posséder du matériel pour profiter de logiciels de stockage de données sophistiqués et hautement sécurisés. Elles peuvent louer des serveurs appartenant à un fournisseur de services en cloud (CSP). Cette option est souvent plus rentable que la possession et la maintenance de matériel.

Les CSP se donnent beaucoup de mal pour garantir la sécurité et la fiabilité. Le partenariat avec un CSP introduit toutefois un niveau de risque supplémentaire que la fintech a du mal à maîtriser totalement.

Par conséquent, la décision d'une fintech d'utiliser exclusivement son propre matériel de stockage de données témoigne d'un engagement remarquablement fort - et donc plus coûteux - en faveur de pratiques complètes de sécurité des données.   

La cybersécurité à tout prix

La cybersécurité chez Altoo

La cybersécurité chez Altoo

Depuis notre création en 2017, chez Altoo, nous optimisons la cybersécurité dès le départ.

Notre société et chaque membre de notre équipe sont basés en Suisse, un pays réputé pour son excellence en matière de services financiers. En 2023, la Suisse est arrivée en tête de l'indice mondial de l'innovation de l'Organisation mondiale de la propriété intellectuelle pour la 13e année consécutive. Nous sommes soumis à la loi fédérale suisse sur la protection des données, qui s'aligne étroitement sur le GDPR de l'UE. Notre plateforme s'interface avec de nombreuses banques européennes et la transmission des données est conforme à la DSP2 de l'UE. Début 2024, la Suisse était l'une des 11 juridictions reconnues par la Commission européenne pour assurer un niveau de protection adéquat pour les transferts de données personnelles. Par conséquent, les transferts de données de l'UE vers la Suisse peuvent avoir lieu sans exigences supplémentaires.

Nous mettons en œuvre plus de 1 600 mesures de cybersécurité, dont un aperçu détaillé et convivial est disponible sur demande. Nous sommes impatients de la partager avec vous ! Cette ressource présente notre soutien à l'authentification de l'accès jusqu'à trois facteurs et décrit notre matériel de stockage de données, qui nous appartient entièrement et qui est situé exclusivement dans un centre de données suisse de niveau 4.

"Chez Altoo, la sécurité des données n'est pas seulement une promesse, c'est un principe de fonctionnement fondamental. Nous sommes certainement parmi les fintechs les plus soucieuses de la cybersécurité sur le marché", déclare Stefan Thiel, CTO chez Altoo AG.

"Nos professionnels de la technologie utilisent un large éventail de mesures de sécurité avancées. Par exemple, nous effectuons régulièrement des tests de pénétration de type "boîte grise" et "boîte noire" pour identifier les vulnérabilités potentielles accessibles aux attaquants avec ou sans identifiants de connexion valides, respectivement. En outre, nous donnons la priorité à la formation continue de tous les membres de l'équipe, qu'ils soient techniques ou non, sur les protocoles de cybersécurité. Nous sommes déterminés à assurer une adhésion stricte à l'échelle de l'organisation", conclut Stefan Thiel.

Si vous souhaitez en savoir plus sur la plateforme Altoo Wealth et nos pratiques de cybersécurité de classe mondiale, n'hésitez pas à nous contacter.

EN BREF

Les fintechs dans la ligne de mire des hackers

Les Fintechs utilisent les mêmes types de données très sensibles que les institutions financières traditionnelles, qui sont des cibles privilégiées pour les pirates informatiques.

Vous pouvez faire preuve de diligence raisonnable en matière de cybersécurité dans le domaine de la fintech.

Il n'est pas nécessaire d'être un expert technique pour poser quatre questions simples à une fintech. Les réponses de la fintech en diront long sur son engagement en matière de cybersécurité. 

Nous pensons que vous aimerez

Les family offices n'investissent pas assez dans les technologies opérationnelles et s'appuient souvent sur des méthodes basées sur le papier et des feuilles de calcul Excel. Le passage à des plateformes numériques de gestion de patrimoine améliore l'efficacité, la prise de décision et la collaboration. Cet article explique comment les solutions numériques peuvent simplifier les structures patrimoniales complexes et rendre la gestion d'actifs plus efficace et plus stratégique pour les clients privés.
Selon le légendaire investisseur Warren Buffett, une gestion de patrimoine réussie repose sur le respect de deux règles. La première consiste à ne jamais perdre d'argent. La seconde est de ne pas oublier la première règle. Ces règles sont simples à comprendre mais peuvent être difficiles à respecter, en particulier pour les investisseurs institutionnels : plus leur patrimoine est complexe, plus les risques d'erreur sont élevés - et plus les conséquences sont importantes. Cet article présente trois façons dont les personnes fortunées mettent en pratique la théorie de Warren Buffett.
Grâce à la numérisation, la transparence des données gagne du terrain dans la gestion de patrimoine. Grâce aux plateformes numériques, il est possible de synchroniser les données en temps réel et sans erreur.

Au cas où vous l'auriez manqué

Icône du menu gauche