Protocoles de sécurité familiale et de Risk Management destinés aux familles UHNW

Pourquoi le profil visible n'est pas un indicateur pertinent pour évaluer le risque

La plupart des familles UHNW ont pour réflexe d'adapter leurs dépenses de sécurité à leur visibilité publique. Si la famille fait profil bas, évite d'apposer son nom sur des bâtiments et se tient à l'écart des rubriques mondaines, on suppose généralement que le risque est proportionnellement faible. Cette hypothèse est de plus en plus indéfendable. Les données relatives au patrimoine sont désormais dispersées dans un large éventail de sources publiques et semi-publiques : les registres des bénéficiaires effectifs rendus obligatoires par la cinquième directive anti-blanchiment de l'UE, les déclarations déposées auprès du Companies House au Royaume-Uni, les déclarations de financement UCC aux États-Unis, les registres de transferts immobiliers et les documents judiciaires issus de litiges antérieurs. Un acteur déterminé n'a pas besoin d'une couverture médiatique pour se faire une idée précise du patrimoine d'une famille, de ses habitudes de voyage et de ses lieux de résidence.

Les enlèvements contre rançon visant des familles fortunées en Europe, en Amérique latine et dans certaines régions d'Asie du Sud-Est ont toujours été motivés non par la notoriété des victimes, mais par leur fortune déclarée, combinée à leur niveau de sécurité perçu. Les données sectorielles fournies par des assureurs spécialisés dans les enlèvements contre rançon indiquent que la majorité des décisions de ciblage dans ces affaires reposent sur des recherches en sources ouvertes plutôt que sur des informations privilégiées, la phase de recherche s'étalant souvent sur plusieurs semaines avant toute prise de contact. Les implications pour la Governance sont directes : le modèle de menace doit être élaboré à partir des informations accessibles au public concernant la famille, et non à partir de l'auto-évaluation par celle-ci de son degré de notoriété.

Une famille qui déclare avec précision ses bénéficiaires effectifs, détient des biens immobiliers en son nom propre et dont les membres sont très présents sur les réseaux sociaux a, en réalité, publié un dossier de reconnaissance. Le programme de sécurité doit tenir compte de ce que les adversaires savent déjà.

Élaboration d'un modèle de menaces structuré

Un modèle de menace concret pour une famille UHNW met en correspondance cinq grandes catégories de risques en fonction de leur probabilité et de leurs conséquences. Ces catégories sont : enlèvement et séquestration illégale ; extorsion (y compris l'enlèvement virtuel et la fraude financière facilitée par Internet) ; agression physique ou harcèlement ; vol de données et usurpation d'identité ; atteinte à la réputation par manipulation de l'information. Ces risques ne sont pas indépendants les uns des autres. Une attaque par ingénierie sociale permettant d'accéder à l'appareil d'un membre de la famille peut fournir des données de localisation qui facilitent directement un incident physique. Les traiter comme des problèmes distincts gérés par des conseillers différents constitue une défaillance structurelle.

Probabilité et conséquence

La question ne se résume pas à déterminer quelles menaces sont les plus probables, mais à identifier quelles combinaisons de probabilité et de conséquences justifient les dépenses d'atténuation les plus importantes. Pour la plupart des familles UHNW européennes et nord-américaines, la probabilité d'un enlèvement à leur résidence principale est faible en termes absolus, mais les conséquences sont catastrophiques et irréversibles. La fraude financière cybernétique ciblant les comptes familiaux constitue une menace plus fréquente, aux conséquences financières plus limitées ; toutefois, la même violation de données qui permet cette fraude peut simultanément exposer des informations relatives à la sécurité personnelle, avec des implications bien plus graves. Le modèle de menace doit donc être dynamique et croisé, et non pas se réduire à une liste de contrôle annuelle statique.

Cartographie des risques par juridiction

Les habitudes de voyage et de résidence nécessitent des analyses spécifiques à chaque juridiction. Le contexte de risque en Suisse, à Singapour ou aux Émirats arabes unis diffère considérablement de celui de Mexico, du Cap ou d'Istanbul. Les familles disposant de résidences dans plusieurs juridictions, ou effectuant fréquemment des voyages vers des marchés à haut risque, devraient faire réaliser des évaluations des menaces propres à chaque lieu par des cabinets de conseil en sécurité disposant de véritables réseaux sur place, et non se contenter de rapports génériques sur les risques liés aux voyages. Le Département d'État américain, le Foreign, Commonwealth and Development Office britannique et leurs équivalents publient des classements de risque par pays qui constituent un point de départ, mais ces classements sont conçus pour des populations générales et s'avèrent souvent trop approximatifs pour le profil spécifique d'une famille UHNW. Des évaluations sur mesure sont justifiées pour toute juridiction classée dans les deux premières catégories de risque.

Les quatre volets d'un programme de sécurité résidentielle

La résidence principale est le lieu où la famille est la plus exposée dans la durée, et celui où il est généralement justifié de concentrer la plus grande partie des investissements en matière de sécurité. Un programme de sécurité résidentielle bien structuré s'articule autour de quatre volets : contrôle du périmètre et des accès, architecture de sécurité intérieure, gestion du personnel et des prestataires, et infrastructure technologique.

Contrôle du périmètre et des accès

La couche périmétrique comprend des barrières physiques, un éclairage, un réseau de caméras de surveillance et la gestion des points d'accès. La norme applicable aux résidences UHNW en zones à faible risque prévoit une procédure d'accès en deux étapes au minimum pour tous les visiteurs occasionnels, avec des zones d'attente pour les véhicules destinées à empêcher toute intrusion par effraction ou par filature. Dans les juridictions à haut risque, le renforcement du périmètre peut s'étendre à des barrières anti-éperonnage, à des portails renforcés et à des infrastructures de salles sécurisées au sein même de la résidence. La conception du périmètre doit impérativement couvrir toutes les entrées utilisées par le personnel, les livreurs et les prestataires, car celles-ci constituent les vecteurs les plus fréquemment exploités lors d'incidents impliquant la complicité d'un initié.

Vérification des antécédents du personnel et des prestataires

Le personnel de maison constitue la source de menace interne la plus persistante et la plus sous-estimée. Une vérification des antécédents au moment de l'embauche est nécessaire, mais insuffisante. Les meilleures pratiques comprennent une vérification structurée des références par contact direct, plutôt que par des références écrites uniquement, , un réexamen périodique après des événements marquants tels que des difficultés financières ou une rupture sentimentale, ainsi que des protocoles clairs régissant ce que le personnel est autorisé à communiquer concernant les horaires et les déplacements de la famille. Les accords de confidentialité ont une force exécutoire limitée dans de nombreuses juridictions, mais ils jouent un rôle important en tant que signal. Plus concrètement, l'accès segmenté à l'information garantit qu'aucun membre du personnel ne dispose simultanément d'une vue d'ensemble complète des déplacements de la famille, de ses dispositions financières et de son infrastructure de sécurité.

Salle sécurisée et infrastructure de secours

Une pièce sécurisée renforcée, ou « safe room », constitue un élément standard de la sécurité résidentielle pour les familles vivant dans des zones classées de niveau 2 ou supérieur, et elle est de plus en plus courante dans les environnements de niveau 1. La safe room doit disposer de ses propres moyens de communication, indépendants des systèmes principaux de la résidence, d'un stock de consommables suffisant pour au moins 72 heures, ainsi que d'un équipement médical adapté aux besoins spécifiques de la famille. Son existence et son emplacement doivent être connus du moins de personnes possible, et les identifiants d'accès doivent être gérés séparément de tous les autres systèmes d'accès à la résidence.

Hygiène des communications et sécurité numérique

La sécurité numérique constitue systématiquement le maillon faible des programmes de sécurité des familles UHNW, en partie parce qu'elle est la moins visible, en partie parce que le chef de famille applique souvent les règles de manière sélective, exposant davantage les autres membres de la famille, en particulier les plus jeunes générations. Un programme efficace exige une application cohérente pour tous les membres de la famille et sur tous les appareils.

La gestion des appareils doit obéir à une architecture hiérarchisée claire. Les appareils utilisés pour les communications financières sensibles, notamment les instructions destinées aux banques et au personnel du family office, doivent être physiquement séparés des appareils à usage général et gérés dans le cadre d'un système de gestion des appareils mobiles doté d'une fonctionnalité d'effacement à distance. Les applications de communication chiffrées doivent constituer la norme pour toutes les communications au sein de la famille et entre celle-ci et ses conseillers, les canaux non chiffrés étant réservés à la correspondance non sensible. Le courrier électronique reste un canal extrêmement vulnérable tant à l'interception qu'à l'ingénierie sociale ; il ne doit en aucun cas être utilisé pour toute communication comportant des numéros de compte, des itinéraires de voyage ou des identifiants d'accès.

Les réseaux sociaux constituent un risque spécifique et souvent sous-estimé en matière de sécurité opérationnelle. Les données de localisation intégrées aux photos, les « check-ins » dans des restaurants ou des aéroports, ainsi que les informations sur les habitudes quotidiennes publiées par les membres de la famille ou leur entourage fournissent les éléments bruts permettant la surveillance et le ciblage. Un protocole familial relatif aux réseaux sociaux, révisé et mis à jour chaque année, devrait préciser quelles catégories d'informations peuvent être partagées publiquement et lesquelles nécessitent une autorisation préalable. Cette politique n'est guère appréciée des plus jeunes membres de la famille, mais elle est nécessaire. Il est préférable de la mettre en place par le biais d'une conversation directe portant sur des incidents concrets, plutôt que par des documents de politique générale.

Le point d'entrée le plus courant des attaques à motivation financière visant les familles UHNW n'est pas une faille technique dans un système de sécurité. C'est le comportement habituel d'un membre de la famille, rendu prévisible par des informations accessibles au public.

Sécurité des déplacements et protection des personnalités

Les voyages constituent la période la plus risquée pour la plupart des familles : les routines imprévisibles dans des environnements inconnus, associées à des infrastructures locales variables, créent des vulnérabilités cumulées. La préparation en matière de sécurité avant le départ doit inclure l'analyse de l'itinéraire, la vérification des hôtels ou des lieux de résidence, les protocoles de contact d'urgence locaux et un calendrier de prises de contact régulières. Pour les voyages vers des juridictions de niveau 2 et 3, la présence d'agents de protection rapprochée est la norme. Dans les juridictions de niveau 1 présentant un risque lié à un événement spécifique, apparitions publiques de grande envergure, négociations commerciales délicates ou conflits familiaux susceptibles de donner lieu à une procédure civile, , un dispositif de protection peut s'avérer justifié de manière sélective, même dans des environnements à faible risque.

L'assurance « enlèvement et rançon » (K&R) fait partie intégrante du Risk Management UHNW. Les polices doivent être réexaminées chaque année parallèlement à la mise à jour du modèle de menace. L'existence de la police ainsi que ses conditions doivent être gardées strictement confidentielles : divulguer une couverture K&R à des personnes extérieures à la famille et à ses conseillers les plus proches peut en soi modifier l'environnement de risque. Les primes d'une couverture K&R complète, couvrant plusieurs juridictions pour une personne assurée et sa famille proche, se situent généralement entre quelques milliers et quelques dizaines de milliers de dollars par an selon les habitudes de voyage, un coût exceptionnellement faible au regard du risque transféré.

Réponse aux incidents : planification en amont

La qualité de la réaction d'une famille face à un incident de sécurité grave dépend presque entièrement de la préparation effectuée en amont. Un plan d'intervention en cas d'incident doit définir une chaîne hiérarchique claire précisant qui prend les décisions, qui communique avec les forces de l'ordre, qui fait appel à un conseiller en gestion de crise et qui gère les communications externes. Ces rôles doivent être attribués, bien compris et testés avant d'être mis en œuvre. Un plan qui n'existe que sur le papier mais qui n'a jamais fait l'objet d'un exercice est nettement moins utile qu'un plan que les personnes concernées ont mis en pratique, ne serait-ce que dans le cadre d'un exercice sur table.

Il est utile d'établir à l'avance des relations avec des conseillers spécialisés en gestion de crise et, séparément, avec un cabinet disposant d'une véritable expertise en négociation en cas de prise d'otages. Devoir nouer ces relations dans l'urgence, alors qu'un incident est en cours, entraîne des retards, des coûts supplémentaires et des erreurs. Des exercices annuels de simulation sur table, impliquant le chef de cabinet du family office, le conseiller principal en matière de sécurité et au moins un membre principal de la famille, constituent une norme minimale raisonnable. Des exercices plus complets, impliquant plusieurs membres de la famille et simulant des communications avec l'extérieur, constituent la meilleure pratique pour les familles dont la situation s'étend sur plusieurs juridictions.

Governance et budget : intégrer la sécurité dans le family office

La sécurité devrait être encadrée dans le cadre d'un programme formel au sein du family office, plutôt que gérée de manière ponctuelle par le biais de relations individuelles avec les fournisseurs. Un conseiller principal en matière de sécurité, employé directement ou engagé dans le cadre d'un contrat de conseil structuré, devrait assumer la responsabilité globale de la cohérence du programme dans ses dimensions physique, numérique et liée aux déplacements. Cette personne devrait rendre compte directement au chef de famille ou au CEO du family office, et non par l'intermédiaire des services administratifs ou des services chargés des installations, où les contraintes budgétaires ont tendance à l'emporter sur le jugement stratégique.

Le coût total d'un programme de sécurité UHNW bien structuré, couvrant les infrastructures résidentielles amorties sur dix ans, les procédures de vérification des antécédents du personnel, l'architecture de communication, la protection des dirigeants lors de déplacements à haut risque, l'assurance K&R et les honoraires de conseil, se situe généralement entre 0,10 % et 0,25 % de l'actif net par an. Sur une base d'actifs nets de $500M, cela représente entre $500K et $1,25M par an. Un seul incident grave, enlèvement, fraude majeure rendue possible par une faille de communication ou atteinte significative à la réputation suite à une cyberattaque, entraînera des coûts représentant plusieurs fois ce montant annuel, sans compter les préjudices qui ne peuvent être quantifiés financièrement. L'argument économique en faveur d'un programme structuré n'est pas compliqué.

Les familles qui gèrent ces risques le plus efficacement partagent une caractéristique commune : elles considèrent la sécurité comme un programme continu, doté de son propre calendrier de Governance, d'un bilan annuel et d'une ligne budgétaire spécifique, et non comme un achat réactif effectué en réponse à un incident précis ou à un fait divers relatant le malheur d'une autre famille. Ce changement d'approche, passant du réactif au proactif et du fragmenté à l'intégré, constitue le levier le plus déterminant que la plupart des familles UHNW puissent actionner pour réduire leur exposition réelle aux risques.