Lorsqu’un fonds de pension adopte une position sur un actif de placement et que cette position doit être financée, il s’engage dans un processus commercial connu sous le nom de capital appelé. Ce faisant, un flux de communication est initié et le processus de transfert de fonds commence lorsqu’un gestionnaire de placement demande le financement de la position en avisant le chef des placements ou un représentant du service des placements. Un processus interne s’enclenche alors, dans le cadre duquel des fonds sont transférés à de nombreuses reprises de comptes de garde à des parties externes. 

Il existe de nombreux endroits où des acteurs potentiels de la menace peuvent s’insérer dans le flux de communication en vue d’atteindre leur objectif final de rediriger les fonds vers eux-mêmes. Pour protéger les actifs d’un fonds, il est essentiel de comprendre comment les acteurs de la menace peuvent compromettre le processus de capital appelé, d’établir des contrôles pour vérifier la légitimité d’une transaction et de travailler avec les groupes de placements.

Risques potentiels liés au processus de capital appelé  

Il peut arriver qu’un acteur de la menace ait déjà compromis l’adresse courriel d’un employé du fonds participant au processus de financement au moyen d’une attaque d’hameçonnage. Peut-être ne frappera-t-il pas immédiatement et attendra plutôt une occasion de tirer parti de son accès accru, comme les acteurs de menaces persistantes et de pointe ont tendance à le faire. Par exemple, ils peuvent lire les procès-verbaux des réunions à huis clos du comité de placement pour comprendre les positions que les fonds envisagent d’adopter. Une fois qu’ils connaissent les positions de placement, ils peuvent s’insérer dans le flux de communication et demander eux-mêmes un transfert de fonds.

Un acteur moins sophistiqué peut tenter d’usurper l’identité du gestionnaire de placement ou d’autres membres du personnel afin de compromettre un membre du personnel. Il peut se présenter comme le chef des placements et demander au directeur financier de transférer des fonds sur un compte externe ou se présenter comme un représentant d’un tiers.

Bien que personne ne veuille croire qu’il puisse faire l’objet de menaces internes de la part de membres de son personnel, les employés des fonds peuvent manipuler les transactions internes en leur faveur. En fait, la menace interne est le deuxième risque le plus important en matière de cybersécurité pour les organisations, juste après les tentatives d’hameçonnage. Si un employé dispose d’informations privilégiées, il peut les utiliser pour compromettre les contrôles internes et réorienter les fonds à son profit ou les communiquer à un collaborateur externe pour qu’il les exploite. 

Mettre en œuvre des contrôles de cybersécurité pour prévenir la fraude

Lorsqu’une opération de capital appelé frauduleuse est traitée sans être détectée, il peut être difficile de la retracer et de récupérer les opérations financières au fil du temps. La mise en œuvre de contrôles de cybersécurité appropriés peut contribuer à empêcher ces transactions de se produire ou à freiner celles qui sont en cours. Les organisations peuvent notamment mettre en œuvre les contrôles suivants :

• Séparation des tâches fondée sur les rôles, afin de s’assurer que personne ne puisse suivre l’ensemble du processus de capital appelé.
• Contrôles continus des antécédents pour vérifier si la situation financière du personnel a changé.
• Confirmations de plusieurs parties au moyen d’une voie de communication cryptée.

Il convient de s’assurer que ces contrôles ne sont pas uniquement présents au sein du fonds de pension, mais également chez les partenaires de placements tiers. Il est donc conseillé de conclure un accord avec les gestionnaires de placements pour la gestion du risque de cybersécurité. De nombreuses entreprises d’investissement exploitent souvent leurs activités d’arrière-guichet de manière opaque et beaucoup d’entre elles n’ont peut-être pas suivi le processus d’accréditation en matière des contrôles d’une société de service (SOC). Un fonds de pension qui fait appel aux services d’entreprises tierces doit s’assurer que ces organisations réalisent leur diligence raisonnable interne.

Formation du personnel

Veiller à ce que votre personnel soit correctement formé est l’un des meilleurs moyens de dissuasion contre les cybermenaces. Il est important d’organiser régulièrement des séances de formation continue pour faire en sorte que la sensibilisation générale à la cybersécurité soit bien présente dans l’esprit de tous les employés. Lorsque les employés reçoivent un courriel à l’apparence trompeuse, ils sont davantage en mesure d’en déterminer la validité.

Une formation axée sur les rôles doit être dispensée aux membres clés du personnel, afin qu’ils comprennent les risques commerciaux inhérents aux tâches qu’ils accomplissent et, comme nous l’avons mentionné précédemment, il convient de séparer les tâches selon les rôles afin de garantir l’intégrité d’un processus commercial sensible. Chaque membre de l’équipe doit avoir un rôle distinct dans le processus de capital appelé, y compris les demandeurs, les bénéficiaires et les responsables du traitement des paiements. En outre, toutes les parties à l’opération financière doivent être vérifiées à chaque étape.

Les employés doivent également être formés à l’utilisation de la technologie appropriée. Le service des TI devrait déployer une technologie pour gérer les opérations sensibles qui ne dépendent pas du courriel comme moyen de transmission pour le déclenchement de la transaction, et tous les membres de l’équipe devraient avoir une bonne maîtrise de l’utilisation de la transmission des communications cryptées.

Les menaces qui pèsent sur le processus de capital appelé sont nombreuses et variées, mais grâce à une planification stratégique de la cybersécurité et à une formation continue, votre organisation peut gérer et atténuer efficacement les risques de cybersécurité qui planent sur vos opérations commerciales.