Sergi Lao, CISO et Co-fondateur chez Flanks
Avec la mise en œuvre du règlement sur l'accès aux données financières (FIDA) prévue pour la fin de l'année 2027, et l'escalade des incidents de cybersécurité dans le secteur financier, les sociétés de gestion de patrimoine sont confrontées à une question urgente : comment évaluer correctement les partenaires technologiques dans un paysage où les attentes réglementaires et les vecteurs de menace évoluent rapidement ? Les données récentes montrant que les trois quarts des organisations luttent contre des attaques sophistiquées basées sur l'IA indiquent que l'évaluation de la sécurité ne peut plus être traitée comme un simple exercice de case à cocher, mais exige une évaluation stratégique des fournisseurs dès le départ.
La FIDA marque l'évolution du secteur financier de l'open banking vers une Open finance complète, établissant des cadres juridiques contraignants pour les institutions qui détiennent des données financières. Là où la DSP2 se concentrait sur les opérations bancaires transactionnelles, la portée de la FIDA s'étend aux portefeuilles d'investissement, aux fonds de pension, aux produits d'assurance et aux actifs immobiliers. Les gestionnaires de patrimoine français, dont les portefeuilles clients comprennent fréquemment des SCPI, des unités de compte, des PER et des avoirs en actions paneuropéens, doivent désormais exercer un contrôle accru sur la manière dont les fournisseurs de technologie traitent, protègent et régissent l'accès à cet univers de données en pleine expansion.
Naviguer dans la complexité réglementaire lors de la sélection des fournisseurs
Les wealth managers comprennent clairement le cyber-risque : des demandes de sécurité détaillées figurent dans pratiquement chaque évaluation technologique. Le véritable défi consiste à distinguer les questions réellement pertinentes du "théâtre de la sécurité", d'autant plus que le calendrier de mise en œuvre de la FIDA se rapproche.
L'environnement réglementaire actuel présente une réelle complexité. Les banques dépositaires traditionnelles opèrent sous une supervision financière complète, tandis que les fournisseurs de technologie peuvent relever de régimes réglementaires variables — une distinction critique lors de l'évaluation du risque de contrepartie.
La FIDA offre l'opportunité d'apporter de la clarté à ce paysage fragmenté. Actuellement, les entités européennes fournissant un accès aux données des comptes de paiement doivent obtenir une autorisation de fournisseurs de services d’information sur les comptes (AISP) dans le cadre de la DSP2. Cela signifie obtenir une licence auprès d'organismes de surveillance comme la Banque d'Espagne ou l'ACPR en France, ce qui nécessite de démontrer une infrastructure de sécurité et une gouvernance robustes. La FIDA universalisera ces normes à travers tout le spectre de l'open finance, établissant des attentes de base cohérentes pour tous les participants.
La transparence devient primordiale dans cette période de transition. La manière dont les fournisseurs structurent leurs partenariats, interprètent leur périmètre réglementaire ou positionnent leurs accords de licence mérite un examen attentif. La FIDA et le règlement sur la résilience opérationnelle numérique (DORA) éliminent systématiquement l'ambiguïté réglementaire, exigeant que les entreprises technologiques adhèrent à des normes opérationnelles équivalentes à celles qui lient les institutions financières elles-mêmes. Depuis l'entrée en vigueur de DORA en janvier 2025, la sécurité et la continuité des activités sont passées de différenciateurs potentiels à des obligations réglementaires incontournables.
Construire votre cadre de due diligence
Une protection efficace des données commence par des questions ciblées. Chez Flanks, nous avons affiné une méthodologie d'évaluation des fournisseurs au fil des années, et nous encourageons les gestionnaires de patrimoine à appliquer ce même cadre rigoureux lors de l'évaluation de n'importe quel prestataire, nous y compris.
Le positionnement réglementaire mérite une attention prioritaire. Quelle autorité gouvernementale supervise le fournisseur ? Peuvent-ils produire leur référence d'autorisation ? Quelles certifications de sécurité ont-ils obtenues (SOC2, SOC3)? Comment prouvent-ils leur conformité à DORA via des protocoles d'incidents documentés et des tests de sécurité réguliers ?
L'architecture d'authentification nécessite un examen approfondi. Les fournisseurs emploient différentes méthodologies : certains stockent les identifiants d'accès des clients, d'autres implémentent des cadres de Procurations ou des Solutions API directes. À mesure que la mise en œuvre de la FIDA progresse, les mécanismes d'accès aux données évoluent vers des modèles basés sur le consentement avec des propriétés de sécurité plus fortes.
La gouvernance de l'accès aux données révèle la maturité de la sécurité. Pouvez-vous spécifier précisément quels éléments de données chaque relation client expose ? Le fournisseur impose-t-il un accès strictement en lecture seule ? Ces contrôles granulaires passent du statut de meilleures pratiques à celui d'exigences mandatées par la FIDA.
Les capacités d'audit reçoivent souvent une attention insuffisante. Vous devriez maintenir une visibilité sur les données récupérées, les horodatages et les acteurs du système. Chez Flanks, nous maintenons des journaux complets, garantissant une traçabilité totale de chaque interaction.
Fondations opérationnelles au-delà des contrôles techniques
Si une architecture technique robuste fournit des fondations essentielles, la gouvernance opérationnelle détermine si les mesures de sécurité fonctionnent efficacement dans la pratique.
Comprendre l'organisation humaine derrière la technologie est primordial. Les opérations basées sur le cloud nécessitent des procédures de continuité des activités documentées et régulièrement testées qui satisfont aux normes de DORA — non pas des plans théoriques de reprise après sinistre, mais des modes opératoires éprouvés.
L'incident récent de CrowdStrike offre des leçons instructives : les entreprises de WealthTech qui ont maintenu leurs opérations tout au long de cette perturbation avaient mis en œuvre une ségrégation et une isolation appropriées du système dès le départ. C'est analogue à une couverture d'assurance complète : vous espérez ne jamais avoir à déclarer de sinistre, mais lorsque des événements imprévus surviennent, cette préparation prouve immédiatement sa valeur.
La transparence dans les relations avec les fournisseurs s'avère tout aussi critique. Recherchez des partenaires qui maintiennent des contrôles appropriés, peuvent détecter rapidement les anomalies et répondre efficacement lorsque des incidents surviennent.
Une fenêtre de préparation stratégique
Vos clients placent leurs informations financières les plus sensibles sous votre garde. Partager ces données avec des fournisseurs de technologie étend cette chaîne de confiance fiduciaire à l'ensemble de votre écosystème technologique.
Le calendrier de mise en œuvre de la FIDA en 2027 crée une fenêtre de préparation stratégique. Les gestionnaires de patrimoine qui investissent aujourd'hui dans une évaluation rigoureuse de la sécurité des fournisseurs aborderont un Paysage financier de plus en plus interconnecté en position de force. Les cadres réglementaires convergents — FIDA, DORA et la directive DSP3 en évolution — établissent des normes sectorielles qui profitent finalement à tous les participants en créant des fondations d'open finance plus sûres et transparentes.
Avec l'intelligence artificielle qui étend simultanément les surfaces d'attaque et les capacités de défense, traiter le risque fournisseur avec la même rigueur analytique que celle appliquée au risque interne est désormais fondamental pour opérer en toute sécurité dans l'environnement de partage de données de demain.