Cybersécurité pour le family office moderne

Pourquoi les family offices sont une cible de choix

Le family office occupe une position structurellement singulière dans l'écosystème financier. Il gère un patrimoine concentré et multigénérationnel — souvent réparti entre des dizaines d'entités juridiques, plusieurs juridictions et une grande diversité de classes d'actifs — avec des effectifs qui paraîtraient squelettiques au regard de tout établissement financier réglementé d'envergure comparable. Un single-family office gérant 1,5 milliard de francs ou d'euros peut n'employer que trois à sept collaborateurs à temps plein, aucun n'étant dédié à la sécurité informatique. Cette asymétrie entre la valeur des actifs et la profondeur du dispositif défensif est précisément ce qui rend ce secteur attractif pour des acteurs malveillants sophistiqués.

Le centre de traitement des plaintes pour la criminalité sur Internet du FBI (IC3) a rapporté que les pertes liées à la compromission de messagerie professionnelle (BEC) au sein des entités de gestion de patrimoine privé — catégorie qui inclut les single et multi-family offices — ont progressé de 69 % entre 2021 et 2023, avec une perte moyenne par incident confirmé dépassant 280 000 USD. Ces chiffres sous-estiment très vraisemblablement le préjudice réel : les family offices ont de puissants motifs réputationnels pour ne pas déclarer les incidents, et nombre de structures plus modestes ne disposent pas des capacités forensiques nécessaires pour même identifier une violation. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a par ailleurs relevé que les personnes fortunées et leurs structures de support représentent une cible prioritaire croissante, tant pour des groupes criminels à motivation financière que pour des acteurs étatiques cherchant à obtenir des renseignements sur les flux d'actifs, les réseaux philanthropiques et les relations politiques.

La menace n'est pas hypothétique. En 2020, une opération d'ingénierie sociale sophistiquée visant un multi-family office à Singapour a abouti à un virement frauduleux d'environ 4,2 millions de SGD. En 2022, un single-family office européen a subi une attaque par rançongiciel qui a chiffré trois années de données comptables consolidées, les malfaiteurs exigeant une rançon en Monero. Aucun de ces incidents n'a été largement médiatisé au moment des faits. Tous deux ont finalement été divulgués par voie réglementaire — le premier en vertu des Technology Risk Management Guidelines de la Monetary Authority of Singapore, le second au titre de la directive NIS de l'Union européenne. La leçon à retenir : les obligations de notification s'étendent, même pour des entités qui ont historiquement opéré sous le seuil de visibilité réglementaire. En Europe, le règlement DORA — applicable depuis janvier 2025 aux entités financières concernées — et les exigences de notification de l'ANSSI en France, de la CSSF au Luxembourg ou de la FINMA en Suisse dessinent un cadre de plus en plus contraignant.

Le modèle de menaces propre au family office

La plupart des référentiels de cybersécurité — NIST CSF, ISO 27001, CIS Controls — ont été conçus pour des institutions de taille significative. Ils supposent une fonction informatique dédiée, un périmètre réseau clairement défini et des collaborateurs formés à la détection des modes opératoires courants. Aucune de ces hypothèses ne vaut pour le family office type. Construire une défense efficace implique de partir d'un modèle de menaces calibré sur l'environnement réel, et non d'emprunter celui d'une banque de réseau.

Des surfaces d'attaque centrées sur le mandant

Dans un family office, le mandant — fondateur de patrimoine, patriarche ou matriarche — est simultanément la cible à plus haute valeur et la personne la plus susceptible de contourner les contrôles. Les mandants voyagent fréquemment, utilisent des appareils personnels pour leurs communications professionnelles, entretiennent leurs relations avec leurs conseillers via des canaux informels (WhatsApp, Signal, messagerie personnelle) et ont l'habitude de voir leurs instructions exécutées sans délai ni friction. Les attaquants le savent. Les campagnes de hameçonnage ciblé visant les family offices commencent généralement non pas par une attaque sur la structure elle-même, mais par une collecte de renseignements en sources ouvertes (OSINT) sur le mandant : mandats dans des conseils d'administration, déclarations philanthropiques, activité sur les réseaux sociaux, actes immobiliers publics. Sur cette base, une usurpation convaincante d'un conseiller de confiance, d'un avocat ou d'un membre de la famille est construite et dirigée vers le directeur administratif et financier ou le responsable comptable de la structure.

L'implication pratique est claire : la surface d'attaque n'est pas le réseau informatique de la structure — c'est l'empreinte numérique et sociale globale du mandant. Tout modèle de menaces crédible doit en tenir compte. Des contrôles qui sécurisent le serveur de messagerie de la structure tout en laissant le compte Gmail personnel du mandant comme canal de validation des décisions d'investissement ne sont pas des contrôles — ce sont des décors.

Les quatre vecteurs d'attaque principaux

Le hameçonnage et ses variantes — hameçonnage ciblé (spear-phishing), hameçonnage vocal (vishing) et hameçonnage par SMS (smishing) — demeurent la technique d'accès initial dominante dans tous les secteurs. Pour les family offices en particulier, la variante vocale mérite une attention soutenue. Une analyse réalisée en 2023 par le National Cyber Security Centre (NCSC) britannique a établi que l'ingénierie sociale par téléphone constituait le vecteur d'accès initial principal dans 34 % des attaques réussies contre des entités de gestion de patrimoine privé. L'attaquant se fait passer pour un collaborateur de la banque dépositaire, un commissaire aux comptes ou un conseiller de confiance, et crée un sentiment d'urgence autour d'une opération nécessitant une autorisation immédiate. La culture de réactivité qui caractérise le family office vis-à-vis du réseau du mandant rend cette approche particulièrement redoutable.

Les attaques par rançongiciel ciblant les family offices se sont nettement intensifiées depuis 2020, en partie parce que l'essor du modèle « ransomware-as-a-service » a abaissé les barrières techniques au lancement d'attaques. Le risque spécifique pour les family offices ne réside pas seulement dans la perturbation opérationnelle — il tient aussi à la menace d'exfiltration et de publication de données. De nombreux groupes de rançongiciels pratiquent désormais la double extorsion : ils chiffrent les données et menacent simultanément de les publier si la rançon n'est pas versée. Pour un family office, les données exfiltrées peuvent inclure des actes de fiducie, des structures de bénéficiaires effectifs, des déclarations fiscales et les informations financières personnelles de plusieurs membres de la famille. L'exposition réputationnelle et juridique liée à une publication peut être bien supérieure au préjudice financier direct de la rançon elle-même.

Les attaques par prise de contrôle de compte (ATO) visent les identifiants des collaborateurs ou des conseillers disposant d'accès aux comptes dépositaires, aux plateformes de courtage ou aux portails bancaires. L'attaque procède généralement par bourrage de credentials — utilisation de combinaisons identifiant/mot de passe issues de violations antérieures contre des portails financiers — ou par hameçonnage des codes d'authentification multifacteur (MFA). Une étude de Verizon sur les violations de données (DBIR 2022) a révélé que 82 % des violations impliquant des comptes financiers comportaient une composante d'identifiant volé. Pour les family offices qui centralisent l'accès à l'ensemble des portails financiers sur un seul responsable ou directeur administratif et financier, un événement ATO peut conférer à l'attaquant un accès sans entraves aux capacités de trading et de virement.

Les attaques par la chaîne d'approvisionnement — compromission d'un tiers de confiance pour accéder aux systèmes ou aux données du family office — représentent le vecteur techniquement le plus sophistiqué et le plus sous-estimé. Les family offices partagent régulièrement des données sensibles avec des experts-comptables externes, des conseils fiscaux, des juristes, des administrateurs de fonds et des dépositaires. Chacune de ces relations constitue un point d'entrée potentiel. La compromission de SolarWinds en 2020 a démontré à grande échelle comment un seul fournisseur de confiance peut devenir un vecteur de pénétration dans des centaines d'organisations en aval. Pour les family offices, le risque équivalent réside dans leurs prestataires informatiques externalisés, leurs agrégateurs de reporting consolidé et leurs services de gestion documentaire.

La surface d'attaque d'un family office n'est pas son périmètre réseau — c'est l'empreinte numérique et sociale globale du mandant, combinée à l'ensemble des relations fournisseurs que la structure entretient. Toute défense ignorant l'une ou l'autre de ces dimensions est structurellement incomplète.

Des contrôles adaptés à l'environnement du family office

Une cybersécurité efficace pour un family office n'est pas une question de déploiement des outils les plus sophistiqués — c'est une question d'identification des risques les plus probables et les plus impactants, et de mise en œuvre de contrôles pérennes dans une structure opérationnelle légère. Le cadre suivant est organisé par domaine de contrôle, en mettant l'accent sur les lacunes les plus fréquemment observées dans les structures gérant entre 500 millions et 2 milliards de francs ou d'euros d'actifs.

Gestion des identités et des accès

L'authentification multifacteur (MFA) n'est plus optionnelle — elle constitue le standard minimal attendu par pratiquement tous les référentiels réglementaires qui touchent aux activités des family offices, notamment les exigences organisationnelles de l'article 16 de MiFID II telles qu'interprétées par l'ESMA, le règlement DORA (applicable depuis janvier 2025 aux entités dans son périmètre) et les circulaires de la CSSF au Luxembourg ou les exigences de la FINMA en Suisse en matière de gestion des risques opérationnels. Pourtant, une enquête réalisée en 2023 par le Family Office Exchange a établi que 31 % des single-family offices n'avaient pas déployé la MFA sur l'ensemble de leurs accès aux portails financiers. Le remède est simple mais exige une application délibérée : tout compte disposant d'un accès à des systèmes financiers doit utiliser une MFA matérielle conforme FIDO2 ou, au minimum, une application d'authentification. La MFA par SMS doit être abandonnée ; les attaques par échange de carte SIM, par lesquelles un attaquant convainc un opérateur mobile de transférer le numéro de téléphone de la cible, ont été utilisées avec succès contre des professionnels de la gestion de patrimoine.

La gestion des accès à privilèges (PAM) — pratique consistant à contrôler, surveiller et auditer les accès aux systèmes les plus sensibles — est le contrôle le plus systématiquement absent dans les family offices qui ont par ailleurs accompli des progrès raisonnables sur l'hygiène de base. Le principe est simple : chaque collaborateur ne doit pas disposer d'un accès permanent à l'ensemble des systèmes financiers, et les identifiants administrateurs ne doivent jamais être utilisés pour des tâches de routine. En pratique, de nombreux family offices fonctionnent avec un mot de passe administrateur unique partagé entre plusieurs collaborateurs pour leurs principaux systèmes financiers, et rarement renouvelé. Mettre en œuvre un dispositif PAM — même allégé — implique de créer des comptes utilisateurs distincts avec des droits adaptés à chaque rôle, d'établir un processus d'octroi et de révocation des accès lors des changements de personnel, et de journaliser l'ensemble des activités à privilèges.

Vérification des transactions et contrôles sur les virements

La fraude aux virements est la catégorie de cybercriminalité la plus financièrement dommageable pour les family offices. L'IC3 du FBI a rapporté que les pertes liées aux attaques BEC — dont la majorité aboutissent à des virements frauduleux — ont totalisé 2,9 milliards USD tous secteurs confondus en 2023. Le contrôle qui prévient le plus fiablement les virements frauduleux est la vérification hors bande : l'obligation de confirmer toute instruction de virement dépassant un seuil défini via un second canal indépendant avant exécution. Cela signifie qu'une instruction reçue par messagerie doit être confirmée par un appel téléphonique sur un numéro préenregistré — et non sur un numéro fourni dans l'e-mail lui-même. Le seuil doit être fixé de manière prudente ; de nombreuses structures retiennent 25 000 CHF ou EUR, selon les schémas habituels de la structure.

Les instructions permanentes et les listes blanches de bénéficiaires préapprouvés offrent une couche de protection supplémentaire. Tout virement vers un nouveau bénéficiaire devrait requérir la validation d'au moins deux signataires autorisés et être soumis à un délai de carence minimal (généralement 24 à 48 heures) avant exécution. Ces contrôles génèrent de la friction — mais c'est une friction calibrée : elle ralentit précisément les opérations que les attaquants cherchent à exploiter, sans perturber matériellement le rythme opérationnel habituel de la structure.

Séquestre de clés et protection des actifs cryptographiques

À mesure que les family offices ont accru leur exposition aux actifs numériques — une étude Campden Wealth de 2023 indique que 26 % des family offices dans le monde détiennent une forme ou une autre de cryptomonnaie ou d'actif numérique — la question de la gestion des clés est devenue matériellement importante. Les clés privées d'actifs numériques représentent l'équivalent fonctionnel de la combinaison d'un coffre-fort contenant ces valeurs. Perdre la clé signifie perdre l'actif définitivement ; se la faire voler revient au même. Le séquestre de clés — pratique consistant à conserver des copies sécurisées et redondantes de clés privées auprès de dépositaires de confiance dans des conditions d'accès définies — constitue la réponse institutionnelle standard à ce risque.

Le cadre de gouvernance du séquestre de clés doit préciser : qui peut autoriser l'accès aux clés séquestrées, dans quelles circonstances, selon quels quorums et via quel processus de vérification. Les structures de portefeuilles multi-signatures (multisig), qui requièrent un nombre défini de clés privées distinctes pour autoriser une transaction, offrent une couche de protection supplémentaire en garantissant qu'aucune clé compromise isolément ne soit suffisante pour déplacer des fonds. Pour les family offices détenant des actifs numériques significatifs, le dispositif de séquestre et la structure multisig doivent être documentés dans la charte d'investissement et validés par un conseil juridique compétent dans la juridiction concernée — que ce soit à Genève, Luxembourg, Paris ou ailleurs.

Sécurité des postes de travail et de la messagerie

Tout appareil connecté aux systèmes de la structure ou utilisé pour des communications professionnelles constitue un point de terminaison et un point de compromission potentiel. L'ordinateur personnel du mandant, le poste de travail du DAF à son domicile, la tablette d'un membre de la famille pour consulter les rapports d'investissement — chacun fait partie de la surface de menace. Un socle minimal de sécurité des points de terminaison doit comprendre : le chiffrement intégral du disque (BitLocker sous Windows, FileVault sous macOS), une capacité de détection et réponse sur les points de terminaison (EDR), la mise à jour automatique des systèmes d'exploitation et des applications, et une politique documentée sur l'utilisation des appareils personnels à des fins professionnelles.

La messagerie reste le principal vecteur de diffusion des attaques de hameçonnage. DMARC (Domain-based Message Authentication, Reporting, and Conformance), combiné à DKIM (DomainKeys Identified Mail) et SPF (Sender Policy Framework), offre une protection de base contre l'usurpation de l'identité de domaine. DMARC n'est pas complexe à déployer, mais requiert une configuration et une supervision délibérées. Une politique DMARC configurée en mode « rejeter » empêchera les e-mails usurpés d'atteindre les destinataires, mais une configuration incorrecte peut bloquer des communications légitimes. Le déploiement doit être progressif : mode « surveiller » d'abord, puis « mettre en quarantaine », puis « rejeter », avec une supervision à chaque étape pour identifier les effets indésirables.

Sauvegarde, reprise et résilience face aux rançongiciels

La défense la plus fiable contre les rançongiciels n'est pas la détection — c'est la capacité de reprise. Une structure capable de restaurer ses systèmes et ses données à partir de sauvegardes propres et testées dans les 24 à 48 heures suivant une attaque se trouve dans une position fondamentalement différente de celle qui ne le peut pas. La règle de sauvegarde 3-2-1 — trois copies des données, sur deux supports différents, dont une copie hors site — demeure le standard de référence. L'ajout critique pour la résilience face aux rançongiciels est l'exigence qu'au moins une copie de sauvegarde soit stockée dans un format isolé (air-gapped) ou immuable : un format qui ne peut être ni chiffré ni supprimé par un logiciel malveillant opérant sur le réseau connecté.

Les sauvegardes doivent être testées. Les family offices les plus gravement touchés par des rançongiciels ne sont pas ceux qui n'avaient pas de sauvegardes — ce sont ceux dont les sauvegardes n'avaient jamais été testées et ont échoué au moment de la restauration. Un test de restauration trimestriel, consistant à restaurer un ensemble défini de fichiers à partir des sauvegardes et à vérifier leur intégrité, constitue le standard minimal acceptable. Un test annuel de restauration complète du système est préférable. Les résultats de chaque test doivent être documentés et examinés par le comité de gouvernance de la structure ou l'instance de surveillance équivalente.

La due diligence fournisseur comme impératif de cybersécurité

Le vecteur d'attaque par la chaîne d'approvisionnement exige une approche structurée de la gestion du risque fournisseur. Les référentiels réglementaires sont de plus en plus explicites sur ce point : l'article 16 de MiFID II requiert que les entreprises d'investissement — catégorie qui, selon les juridictions, peut englober les multi-family offices — mettent en place des politiques et procédures appropriées pour les fonctions externalisées. Le règlement DORA, applicable depuis janvier 2025, impose des exigences détaillées de gestion du risque lié aux tiers prestataires de services TIC aux entités financières dans son périmètre. La CSSF au Luxembourg et la FINMA en Suisse ont toutes deux précisé leurs attentes en matière de surveillance des prestataires critiques dans leurs circulaires et communications récentes.

En pratique, la due diligence fournisseur aux fins de cybersécurité devrait inclure : un questionnaire de sécurité préalable à l'engagement, couvrant les contrôles d'accès, les pratiques de chiffrement, les procédures de réponse aux incidents et les relations avec les sous-traitants du fournisseur ; un examen du rapport SOC 2 Type II le plus récent ou d'un audit tiers équivalent ; des clauses contractuelles précisant les obligations du fournisseur en cas d'incident de sécurité, notamment les délais de notification et les obligations de coopération ; et une recertification annuelle confirmant que la posture sécurité du fournisseur n'a pas évolué de manière significative. L'enquête opérationnelle 2023 du Family Office Exchange a établi que moins de 40 % des single-family offices réalisaient des évaluations annuelles de la sécurité de leurs prestataires externalisés — une lacune que les régulateurs commencent à scruter attentivement.

Une attention particulière doit être portée aux prestataires disposant d'accès privilégiés aux systèmes ou aux données de la structure : le prestataire informatique externalisé, l'agrégateur de reporting consolidé, l'administrateur de fonds et le prestataire de paie. Chacun dispose d'un accès technique susceptible de causer des dommages significatifs s'il est compromis, et chacun doit faire l'objet du niveau le plus rigoureux du dispositif de due diligence. Les accords de traitement des données (DPA) sont requis en vertu de l'article 28 du RGPD pour les prestataires traitant des données personnelles de personnes concernées établies dans l'Union européenne — catégorie qui englobe la majorité des family offices ayant des mandants ou des bénéficiaires européens.

La posture de cybersécurité d'un family office n'est jamais plus solide que son maillon fournisseur le plus faible. Le prestataire informatique externalisé, l'administrateur de fonds et le service de reporting consolidé disposent chacun d'accès privilégiés qui justifient une due diligence structurée et documentée — et non une poignée de main accompagnée d'un vœu pieux.

Le déficit de talents et le modèle de vCISO

Le marché des talents en cybersécurité est sévèrement contraint à l'échelle mondiale. L'étude (ISC)² 2023 sur les effectifs en cybersécurité estimait un déficit mondial de 4 millions de professionnels. Dans ce contexte, un single-family office gérant 800 millions de francs ou d'euros d'actifs ne peut raisonnablement pas rivaliser avec une grande banque ou une entreprise technologique pour recruter un professionnel senior de la sécurité. L'écart de rémunération est structurel : un Directeur de la Sécurité des Systèmes d'Information (DSSI, ou CISO) compétent commande un salaire de base de 220 000 à 380 000 CHF ou EUR dans les principales places financières francophones, avec une rémunération totale dépassant fréquemment 500 000 CHF ou EUR primes incluses. C'est un coût de poste à temps plein que la plupart des family offices ne peuvent justifier pour une fonction qu'ils considèrent souvent comme secondaire par rapport à la gestion des investissements et au service aux mandants.

Le modèle de CISO externalisé (vCISO) répond directement à cette contrainte. Un vCISO est un dirigeant expérimenté en sécurité engagé à temps partiel — généralement 10 à 20 heures par mois — pour assurer le leadership stratégique en matière de sécurité, la supervision de la gouvernance et la coordination de la réponse aux incidents. Le coût de la mission est généralement compris entre 8 000 et 20 000 CHF ou EUR par mois selon la portée et le niveau du professionnel, soit une fraction du coût d'un recrutement à temps plein. Le modèle vCISO ne convient pas aux structures aux opérations complexes et fortement réglementées, ou en situation active de gestion d'incident — dans ces cas, une fonction de sécurité dédiée s'impose. Mais pour le family office médian, un vCISO associé à un prestataire de services de sécurité managés (MSSP) compétent pour la surveillance opérationnelle offre un modèle de couverture à la fois crédible et financièrement viable.

Le déficit de talents s'étend au-delà du niveau senior. La formation à la sensibilisation des collaborateurs — la couche humaine de la chaîne de sécurité — est systématiquement sous-investie dans les family offices. Le rapport DBIR 2023 de Verizon a établi que l'élément humain était impliqué dans 74 % de l'ensemble des violations. Les programmes de formation n'ont pas besoin d'être élaborés : une simulation de hameçonnage trimestrielle, associée à une session annuelle de sensibilisation à la sécurité d'une durée de 30 minutes couvrant le modèle de menaces spécifique à la structure, améliore de manière mesurable le taux de détection par les collaborateurs. L'exigence critique est que la formation soit adaptée aux rôles : un responsable comptable et l'assistant personnel du mandant font face à des scénarios d'attaque différents et nécessitent une préparation différenciée.

La documentation de gouvernance comme prérequis aux contrôles techniques

Les achats technologiques ne se substituent pas à la gouvernance. Une structure qui déploie des outils de sécurité sophistiqués sans politique de sécurité de l'information rédigée, sans plan de réponse aux incidents et sans plan de continuité d'activité a inversé l'ordre correct des opérations. La documentation de gouvernance est le fondement — elle définit ce que la structure cherche à protéger, qui en est responsable, ce qui constitue un incident et comment la structure y répondra. Les contrôles techniques sont la mise en œuvre de ces décisions de gouvernance.

Une politique de sécurité de l'information pour un family office n'a pas besoin d'être un document d'entreprise de 200 pages. Un document cohérent de 10 à 15 pages traitant de : la classification des actifs informationnels de la structure (ce qui est confidentiel, ce qui est restreint, ce qui est public) ; l'utilisation acceptable des systèmes de la structure et des appareils personnels ; les exigences en matière de mots de passe et de MFA ; les obligations de gestion des fournisseurs ; et le processus de signalement des incidents suspectés — constitue un socle suffisant. La politique doit être révisée annuellement et signée par la direction de la structure pour signaler l'engagement institutionnel.

Un plan de réponse aux incidents définit les étapes que la structure mettra en œuvre du moment où un incident est suspecté jusqu'à sa résolution. Il doit identifier : l'équipe de première intervention (généralement le directeur de la structure, le vCISO ou son équivalent, et un conseil juridique externe) ; les protocoles de communication (qui est notifié, dans quel ordre, par quel canal) ; les obligations de notification réglementaire (qui varient selon les juridictions — le RGPD européen impose la notification à l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance d'une violation de données personnelles, qu'il s'agisse de la CNIL en France, de la CNPD au Luxembourg ou du PFPDT en Suisse) ; et le processus de revue post-incident. Le plan doit être testé au moins annuellement par un exercice sur table — une discussion structurée d'un scénario d'incident simulé qui révèle les lacunes du plan sans nécessiter un compromis système réel.

Contexte réglementaire et obligations de notification

L'environnement réglementaire en matière de cybersécurité pour les family offices évolue rapidement et de manière inégale selon les juridictions. Dans l'Union européenne, le règlement DORA impose aux entités financières dans son périmètre des exigences de gestion du risque TIC, de notification des incidents majeurs et de gestion du risque lié aux tiers. Les family offices opérant comme gestionnaires de FIA au titre de la directive AIFMD, ou comme entreprises d'investissement au titre de MiFID II, relèvent du périmètre de DORA. Ce règlement exige un cadre documenté de gestion du risque TIC, le signalement obligatoire des incidents TIC majeurs à l'autorité compétente — la CSSF au Luxembourg, l'AMF en France, la FINMA en Suisse pour les cadres équivalents — et un programme formel de test de la résilience opérationnelle numérique, incluant pour les entités significatives des tests de pénétration guidés par la menace (TLPT) tous les trois ans.

En Suisse, la FINMA a progressivement renforcé ses attentes en matière de cybersécurité pour les gestionnaires de fortune et les family offices soumis à son autorisation. Sa circulaire 2023/1 sur les risques opérationnels et les risques liés aux TIC établit des exigences détaillées en matière de gouvernance, de gestion des incidents et de résilience des systèmes. La FINMA a par ailleurs indiqué clairement, dans ses communications de surveillance, qu'elle considère la cybersécurité comme une responsabilité de la direction, et non une question informatique. Au Luxembourg, la CSSF a publié des circulaires spécifiques sur la gouvernance ICT et la gestion des risques liés aux prestataires tiers, dans le prolongement de l'entrée en vigueur de DORA. Ce cadrage est instructif pour tout comité de gouvernance de family office : la sécurité est une question fiduciaire, non une question technique.

Les recommandations du Pilier Deux de l'OCDE (BEPS), bien qu'essentiellement un cadre fiscal, ont des implications indirectes en matière de cybersécurité : les échanges de données financières dans le cadre des règles de déclaration GloBE augmentent le volume d'informations financières sensibles en transit entre juridictions, élargissant la surface d'attaque potentielle pour l'interception.

Construire une posture de sécurité crédible en pratique

Le chemin pratique vers une posture de cybersécurité crédible pour un family office est séquentiel, non simultané. Tenter de mettre en œuvre tous les contrôles simultanément aboutit généralement à une mise en œuvre partielle de beaucoup de choses et complète de rien. Une approche par phases — documentation de gouvernance au premier trimestre, contrôles de gestion des identités et des accès au deuxième, cadre de due diligence fournisseur au troisième, tests de sauvegarde et de reprise au quatrième — produit plus vraisemblablement des résultats durables.

Une évaluation des écarts par rapport à un référentiel reconnu — les CIS Controls version 8 sont les plus accessibles pour les organisations sans fonction de sécurité dédiée — fournit une base objective à partir de laquelle prioriser. Les six premiers CIS Controls (inventaire des actifs informatiques, inventaire des logiciels, protection des données, configuration sécurisée, gestion des comptes et gestion des droits d'accès) couvrent la grande majorité des vecteurs d'attaque courants et doivent constituer la première priorité de mise en œuvre pour toute structure n'ayant pas encore réalisé d'évaluation de sécurité structurée.

La cyber-assurance mérite une mention spécifique. Le marché s'est considérablement durci depuis 2020 : les primes pour les entités de services financiers ont augmenté de 50 % à 150 % selon les juridictions, les assureurs ont introduit des sous-limites pour la couverture des rançongiciels, et les questionnaires requis pour l'obtention d'une couverture sondent désormais en profondeur les contrôles de sécurité de la structure. Une structure incapable de démontrer le déploiement de la MFA, l'existence d'un plan de réponse aux incidents testé et des contrôles de base sur les points de terminaison se verra soit refuser la couverture, soit proposer des conditions offrant une protection limitée à coût élevé. La cyber-assurance ne se substitue pas aux contrôles — les assureurs sont devenus habiles à identifier les exclusions de garantie applicables lorsque la négligence de l'assuré a contribué au sinistre — mais elle constitue un élément matériel de la stratégie de transfert de risque de la structure et doit être réexaminée annuellement.

La cyber-assurance est un transfert de risque, non une gestion du risque. Une structure qui s'appuie sur sa police comme défense principale en matière de cybersécurité découvrira, au pire moment possible, que la conception de l'assureur concernant les « contrôles adéquats » diverge substantiellement de la sienne.

Le comité de gouvernance — ou, dans un single-family office sans structure formelle de comité, le mandant et les membres les plus seniors de l'équipe opérationnelle — devrait recevoir un point trimestriel de sécurité couvrant : l'environnement de menaces actuel pertinent au profil de la structure, le statut des lacunes de contrôle ouvertes issues de la dernière évaluation, les incidents ou quasi-incidents survenus au cours du trimestre précédent, et les résultats du dernier test de sauvegarde ou exercice sur table. Ce rythme crée la discipline institutionnelle qui transforme la sécurité d'un projet ponctuel en fonction opérationnelle continue. Il constitue également une trace documentaire démontrant aux régulateurs et aux assureurs que la direction de la structure a traité la cybersécurité comme une question de gouvernance — une distinction qui a des conséquences financières réelles lorsqu'un incident survient et que la couverture ou le traitement réglementaire sont en jeu.