La cybersécurité : le nouvel allié de la conformité

Son impact sur la conformité réglementaire touche autant les criminels en col blanc que les personnes qui déploient des programmes de conformité.

Les nouvelles technologies comme levier de renouvellement des fraudes

Les fraudeurs ont souvent une longueur d'avance sur nous et ont une imagination sans limite pour ce qui est de concevoir de nouvelles malversations. Les criminels en col blanc ne sont pas en reste et sont bien ancrés dans leur époque : les connaissances actuelles en cybersécurité sont d'autant de moyens facilitant et renouvelant des schémas de fraude existants. Malheureusement, les contrôles internes mis en oeuvre ne prennent pas toujours en compte les évolutions apportées par les nouvelles technologies.

Ces dernières facilitent l'élaboration de schémas de fraude en garantissant l'anonymat des malfaiteurs et en leur permettant d'atteindre un périmètre de victimes plus important. A cela s'ajoute un facteur humain : le niveau des connaissances en cybersécurité des victimes n'est pas toujours suffisant, ce qui en fait un maillon faible.

Le rôle de la cybersécurité en criminalité financière

Concernant la criminalité financière, les faiblesses en cybersécurité permettent aux criminels en col blanc de décupler leurs gains. Un schéma classique réside dans la cyberattaque d'infrastructure technologique liée à des activités régulées, comme les systèmes de paiement ou les places virtuelles de marché financier, perturbant ainsi leur bon fonctionnement.

Pour ce qui concerne les enjeux spécifiques à la conformité, les faiblesses de cybersécurité peuvent engendrer des manipulations de cours par l'interception de messages de traders, l'envoi de messages falsifiés à la place de ces traders, des modifications ou des ralentissements de livraison d'ordres boursiers, etc. On peut aussi être en présence de diffusion de fausses informations à travers le piratage d'un site web ou sur les réseaux sociaux, comme le cas de Vinci en 2016 où des pirates informatiques avaient envoyé un faux communiqué de presse faisant dévisser le cours de l'action.

La cybercriminalité peut donc avoir un effet perturbateur sur les marchés financiers. L'Autorité des marchés financiers (AMF) a d'ailleurs publié un rapport sur le sujet en 2019 et en a fait une de ses priorités de supervision pour 2020, ce qui démontre l'importance que les régulateurs y apportent. La CNIL aussi, en tant que régulateur, porte un intérêt particulier à la cybersécurité en s'attachant à la protection des données à caractère personnel.

L'intégration de la cybersécurité pour améliorer les programmes de conformité

Un programme robuste de conformité et de lutte contre la criminalité financière passera également par la mise en oeuvre de contrôles internes relatifs à la cybersécurité. En revanche, comme tout dispositif de contrôle interne, il devra s'aligner avec les risques spécifiques de l'organisation et à ses activités afin de focaliser les efforts de sécurisation sur les données critiques, sensibles ou confidentielles. La formation et la sensibilisation aux enjeux de cybersécurité permettra de relever les connaissances minimales des collaborateurs et de renforcer l'environnement de contrôle global.

La cybersécurité, un allié pour toutes les industries et tous les enjeux récents de conformité réglementaire

En conclusion, la cybersécurité des systèmes d'information qui soutiennent les activités ayant un lien direct ou indirect sur les diverses exigences de conformité doit faire partie intégrante d'un programme de conformité robuste, et ce dans tous les types d'industries.

En effet, en plus de la protection des données à caractère personnel, un autre exemple concret de lien entre la conformité et la cybersécurité réside au sein du pilier de procédure de contrôles comptables de l'article 17 de la loi Sapin 2 qui requière que la comptabilité ne soit pas utilisée pour masquer des faits de corruption. La sécurité des systèmes comptables fait partie intégrante d'un programme de cybersécurité. Sinon, il ne sera pas possible d'avoir l'assurance raisonnable que la comptabilité n'est pas utilisée pour masquer des faits de corruption. Notre monde est de plus en plus numérique, il est donc impératif d'en tenir compte dans nos programmes de conformité.

Pour en savoir plus

Caroline Leblanc, Director Compliance & Regulatory Consulting chez Duff & Phelps, possède plus de 15 ans d'expérience, en France et au Canada, dans les domaines de la conformité réglementaire et du conseil et de l'audit des technologies de l'information. Elle dispose d'une solide expertise en criminalité financière, en protection des données à caractère personnel ainsi qu'en contrôles internes informatiques exercés sur l'information financière.