mer. Juin 24th, 2026
Cybersécurité

ASIC contre HSBC : L’adéquation est-elle suffisante pour gérer les risques cyber ?

ByJulien Macé

Déc 27, 2024

Bien qu’Optus et Medibank soient souvent cités en tête de liste lorsqu’on évoque des incidents de cybersécurité, l’ASIC (Australian Securities and Investments Commission) intensifie ses efforts pour faire respecter les exigences réglementaires liées aux échecs des titulaires de licence en matière de protections adéquates contre les cyber-risques. Des cas comme RI Advice, Lanterne et maintenant HSBC illustrent cette tendance. À mesure que l’utilisation des technologies numériques et de l’intelligence artificielle dans les services financiers augmente, la vigilance contre la fatigue liée aux cyberattaques et la compréhension des ressources nécessaires pour gérer ces risques deviennent primordiales.

Au Tribunal

En 2022, la Cour fédérale a statué que RI Advice avait violé ses obligations de disposer de systèmes de gestion des risques appropriés afin de garantir que ses services soient fournis de manière efficace, honnête et équitable. RI Advice a reconnu qu’elle avait manqué de documentation adéquate, de contrôles et de systèmes de gestion des risques pour gérer les risques de cybersécurité au sein de son réseau de représentants autorisés. L’entreprise comptait plus de 100 représentants à travers le pays. Neuf incidents de cybersécurité ont été répertoriés sur une période de six ans, notamment :

  • le piratage d’un compte d’un représentant ayant entraîné des transferts d’un client d’un montant de 50 000 $ ;
  • l’utilisation par un représentant d’une plateforme de messagerie où les informations étaient stockées dans le cloud, sans logiciel antivirus et avec un mot de passe commun à tout le personnel ;
  • le piratage du serveur d’un représentant de succursale, entraînant la détention de données personnelles de 220 clients à des fins de rançon, ces données étant finalement irrécupérables ; et
  • un agent malveillant non identifié ayant eu accès au serveur d’un des clients institutionnels de la licence pendant plusieurs mois, ce qui a conduit à l’utilisation non autorisée des informations personnelles de clients d’une douzaine d’institutions clientes de grande taille.

Les mesures prises par RI Advice, comprenant des examens internes, des experts externes, de la formation, des bulletins d’information, des rapports d’incidents et des protections contractuelles avec des tiers, ont été jugées insuffisantes et tardives pour gérer correctement les risques de cybersécurité. Dans la première affaire de ce genre en Australie, la Cour a ordonné à RI Advice de faire appel à un expert en cybersécurité et de payer 50 % des frais de l’ASIC. Le risque de cybersécurité posé par les tiers, notamment les représentants de licence, est désormais un point majeur de l’attention de l’ASIC.

En mai de cette année, la Cour a déclaré que Lanterne, une société de licence à louer, avait manqué à son obligation de disposer de ressources adéquates (tant humaines que technologiques) à plusieurs niveaux, y compris l’absence d’un plan de ressources technologiques à jour et la dépendance à des processus de sauvegarde obsolètes.

Lanterne, agissant comme un licencié de gros, comptait plus de 60 représentants autorisés d’entreprise et jusqu’à 205 représentants autorisés, gérant diverses entreprises, parmi lesquelles des fonds d’investissement gérés, des sociétés de services de conseil aux entreprises, des fonds d’actifs numériques et des fonds de capital-risque. Lanterne n’avait qu’un seul employé à plein temps, son PDG et directeur unique, Peter Cozens.

Lanterne Fund Services a reconnu plusieurs manquements, comprenant :

  • l’absence d’un système de gestion des risques documenté ou de tout autre système visant à identifier, évaluer ou atténuer les risques ;
  • la dépendance à l’automatisation des rapports de conformité de ses représentants autorisés ;
  • l’absence d’un processus de révision ou d’audit documenté pour déterminer si ses représentants respectaient la législation sur les services financiers ;
  • un déficit de gestionnaires responsables qualifiés ;
  • l’absence de formation pour ses représentants autorisés et l’absence de suivi des registres de formation ; et
  • un manque de ressources humaines ou technologiques suffisantes.

Lanterne a été condamnée à une amende de 1,25 million de dollars pour avoir enfreint cinq de ses obligations de licencié, y compris l’absence de ressources adéquates pour fournir les services financiers couverts par la licence.

Dans sa plainte contre HSBC la semaine dernière, l’ASIC allègue que celle-ci a manqué à ses obligations de fournir ses services de manière efficace, honnête et équitable, notamment en n’ayant pas protégé de manière adéquate ses clients contre des arnaqueurs se faisant passer pour des employés de HSBC. Cela a causé des pertes estimées à environ 23 millions de dollars pour les clients de HSBC. Entre janvier 2020 et août 2024, HSBC a reçu environ 950 plaintes pour des transactions non autorisées.

L’ASIC prétend que ces manquements étaient “généraux et systématiques” et comprend que HSBC n’a pas mis en place des systèmes adequats pour :

  • prévenir et détecter les paiements non autorisés ;
  • enquêter et répondre aux réclamations des clients pour des transactions non autorisées conformément au code des paiements électroniques ;
  • identifier, suivre et rendre compte de la conformité avec le code des paiements électroniques ;
  • rétablir l’accès aux comptes clients bloqués suite à des transactions non autorisées conformément au code bancaire.

Jusqu’à présent, il était peut-être judicieux de penser que des processus informatiques adéquats permettaient de répondre aux obligations de gestion de risques de cybersécurité, l’allégation de l’ASIC concernant l’obligation “honnêtemmement, efficacement et équitablement” indique que des mesures supplémentaires pourraient être nécessaires.

Agir comme il se doit

Dans l’affaire RI Advice, la Cour a constaté des violations concernant l’obligation d’avoir des systèmes de gestion des risques adéquats en matière de cybersécurité. Le même constat s’applique à Lanterne en ce qui concerne les ressources. Dans le cas d’HSBC, l’ASIC allègue une violation de l’obligation de faire “tout ce qui est nécessaire” pour garantir que les services soient fournis efficacement, honnêtement et équitablement.

La question posée au tribunal dans le cas d’HSBC est de savoir si les obligations d’un licencié en matière de cybersécurité exigent un niveau de conduite plus élevé, c’est-à-dire faire “tout ce qui est nécessaire” plutôt que de simplement disposer de systèmes et de ressources “adéquates”.

L’obligation d'”agir comme il se doit” est en constante évolution. Dans l’affaire récente de Macquarie, cette dernière a échoué à mettre en place des contrôles efficaces pour surveiller si les transactions de gros tierces sous l’autorité de frais étaient effectivement pour des frais sur une période de quatre ans. En conséquence, un conseiller financier a pu retirer frauduleusement environ 2,9 millions de dollars des comptes de ses clients sans que Macquarie ne s’en aperçoive. La Cour n’a pas été invitée à examiner la norme de conduite exigée par l’obligation, Macquarie ayant admis la violation, mais a fait ces commentaires utiles :

  1. La norme d’honnêteté doit être considérée à la lumière des normes commerciales et de la moralité, plutôt que des normes sociétales plus larges.
  2. Un licencié peut ne pas respecter la norme d’honnêteté même si sa conduite n’est pas criminelle.
  3. Les normes imposées ne requièrent pas la perfection absolue dans la fourniture des services.
  4. L’utilisation du terme “assurer” implique que la conformité requiert une certaine anticipation et demande au licencié de prendre des mesures pour prévenir de futures violations.

Dans l’affaire Westpac, la Cour a trouvé que l’obligation peut également être violée lorsque quelque chose est jugé injuste, sans nécessairement être malhonnête.

La manière dont la Cour interprète cette norme influencera non seulement la qualité des systèmes des licenciés pour gérer le risque de cybersécurité, mais également la norme requise par cette obligation “d’agir comme il se doit”, qui, en tant que disposition de pénalité civile, est de plus en plus invoquée par l’ASIC pour réguler la conduite des licenciés.

Nouvelles obligations légales – Réforme de la loi sur la protection de la vie privée et la cybersécurité

En plus de prêter attention à l’interprétation par les tribunaux des obligations des licenciés en matière de gestion des risques de cybersécurité, vous devrez certainement revoir et probablement modifier vos politiques et procédures suite aux nouvelles réformes législatives.

Lors de la dernière séance de cette année, le Parlement a adopté une série de lois imposant des obligations élargies et additionnelles sur les licenciés concernant la cybersécurité, y compris le projet de loi sur la vie privée et autres réformes législatives de 2024 et le projet de loi sur la cybersécurité de 2024.

En résumé, l’Australian Privacy Act 1988 est désormais modifiée pour :

  • créer un recours légal pour des violations sérieuses de la vie privée ;
  • clarifier que les “mesures raisonnables” pour protéger les informations personnelles incluent des mesures techniques et organisationnelles ;
  • exiger que les entités incluent dans les politiques de confidentialité des informations sur les décisions automatisées affectant significativement les droits d’un individu ;
  • introduire de nouvelles infractions ciblant la divulgation de données personnelles de manière menaçante ou intrusive (doxxing) ;
  • élargir les pouvoirs de l’Office du Commissaire australien à l’information.

Concernant la Cyber Security Act 2024 :

  • introduit une obligation de rapport après paiement d’une rançon ;
  • couvre le rapport volontaire des incidents de cybersécurité au coordinateur national de la cybersécurité ;
  • précise que le Cyber Incident Review Board peut ordonner une révision après renvoi par des entités touchées ;
  • établit des pouvoirs réglementaires incluant surveillance et enquêtes, ordonnances de pénalité civile, avis d’infraction, engagements et injonctions.

L’impact des pénalités civiles

En plus des pénalités introduites par les nouvelles lois, il sera intéressant d’observer la position du tribunal sur la revendication de l’ASIC indiquant que les violations du code e-Payments et du code bancaire justifient une disposition de pénalité civile.

Ressources

Découvrez notre publication récente sur les autres risques juridiques liés aux incidents de cybersécurité, y compris les violations de la vie privée et de la confidentialité.

Le Centre Australien de Cybersécurité a également publié des ressources pour la cybersécurité des petites entreprises.

Bon à savoir

  • La vigilance accrue concernant la cybersécurité est tendue par la montée des exigences réglementaires.
  • Les entreprises doivent maintenant se conformer à des lois révisées régissant la protection des données personnelles et les protocoles de cybersécurité.
  • Les incidents de cybersécurité passés sont de véritables leçons qui doivent guider les politiques futures des entreprises.
  • L’ASIC intensifie sa surveillance sur les titulaires de licence afin de réagir aux manquements généralisés concernant la cybersécurité.

Dans un monde où la numérisation croît progressivement, il est essentiel de se demander comment les entreprises s’adaptent à ce nouvel environnement tandis qu’elles renforcent leurs mesures de sécurité. La responsabilité en matière de cybersécurité doit sans cesse évoluer en parallèle avec les menaces émergentes. Comment les différents acteurs du secteur peuvent-ils collaborer pour améliorer la résilience collective des systèmes en place ?


Partager : X Facebook WhatsApp LinkedIn Reddit

By Julien Macé

Articles de la même catégorie

Cybersécurité

Cycurion Finalise l’Acquisition de Secuvant et Renforce sa Plateforme de Cyberdéfense Panoptique !

Juin 11, 2026
Cybersécurité

Cycurion, Inc. réalise une acquisition transformative de Secuvant, LLC et de sa plateforme phare de cybersécurité Panoptic

Juin 10, 2026
Cybersécurité

Cycurion, Inc. Achève une Acquisition Révolutionnaire de Secuvant, LLC et de sa Plateforme Phare en Cybersécurité Panoptique

Juin 10, 2026
2 thoughts on “ASIC contre HSBC : L’adéquation est-elle suffisante pour gérer les risques cyber ?”

  1. Dans ce monde numérique en constante évolution, la vigilance est la clé pour naviguer en toute sécurité. Les entreprises doivent vraiment s’adapter et innover pour protéger leurs clients.

    Répondre

  2. La cybersécurité est vraiment cruciale, surtout avec toutes ces nouvelles lois. Les entreprises doivent se préparer pour protéger leurs clients et leurs données. C’est essentiel !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


Ne ratez pas

Sciences

Le gouvernement prévoit environ 30 zones publiques sécurisées pour observer l’éclipse aux Baléares !

23 juin 2026
Cryptos

Chainlink s’associe à 47 banques en Corée du Sud et en Europe pour accélérer les transferts d’argent internationaux !

23 juin 2026
Intelligence Artificielle

Frappez fort avec l’Odyssée : Laissez-vous emporter par la narration de Michael Caine !

23 juin 2026
Sciences

Cerveau : Un homme paralysé retrouve la parole après 19 mois !

23 juin 2026
Des questions ?

Vous pouvez contacter la rédaction à tout moment, pour nous proposer un bon plan ou soumettre une idée, c’est par ici ⬇️

Contactez l’équipe !

Suivez nous sur Google Actualités

Google Actualités
Soutenez Nous en mettant en Favoris

LesNews | 2025 - Tous droits réservés.