Partager
Imprimer
Télécharger

Larry Zelvin juillet 07, 2025 Stratégies et planification de patrimoine

Family offices are meant to protect and grow the wealth of high-net worth Canadians, but cyberattacks are making that job more difficult. With high value assets and sensitive information, family offices are attractive targets for threat actors. According to a survey by global law firm Dentons, more than 70% of family offices report that the likelihood of a cyberattack has increased dramatically.

Cyber criminals are becoming more sophisticated, with many using artificial intelligence technologies to craft convincing voice messages to use in their scams. Additionally, growing political uncertainty and recent natural disasters are giving them new opportunities to attack.

Larry Zelvin, Executive Vice President and Head of the Financial Crimes Unit at BMO Financial Group, is one of the foremost authorities on cyber risk. Having worked as the Global Head of Cyber Security at Citigroup and Director of the National Cybersecurity and Communications Integration Center with the U.S. Department of Homeland Security, he uses his extensive experience to help clients increase their security knowledge.

What are some of the key cyber security risks to family offices?

Family offices often comprise individuals of different ages and digital habits. Younger individuals tend to click links or download apps without first ensuring they’re safe, which presents risk. Older generations are being targeted by sophisticated social engineering campaigns. Both groups may be reluctant to speak up when they’ve been victimized because they are embarrassed. No one should feel ashamed of falling victim to a scam in a landscape of increasingly complex threat actors and schemes.

It’s important to create a security culture within family offices – encouraging members to See something, say something. Every breach begins with an entry: a starting point. This can be something like an individual’s password that has been compromised through a social engineering attack or phishing message. The threat can quickly escalate from an individual to a family office to a business, particularly if that individual is using the same password for multiple accounts.

How equipped are family offices at warding off an attack?

While the threat is always there, family offices have been getting better at addressing the risk of cyberattacks. One very simple tactic is to create a shared passcode that is only known within the family. This is especially useful with deepfake videos or phone calls, which can be convincing enough to make you think you’re talking to a real person – even someone you know well. Just like other forms of social engineering, deepfakes may use emotional or urgency tactics such as claiming that somebody is ill or has been arrested. If you get that phone call, take a moment, take a breath and resist the urge to act quickly and on impulse. Ask for the family passcode to make sure the person you’re talking to is who they claim to be. When developing a passcode, make sure it’s different from all other passwords. Also, passcodes should not be things related to your family that a scammer could easily find online—such as street names, birthdays, pets, or other personal information that may be shared online. They should also be changed from time to time.

Because wealthier individuals often have a public persona and online profile, hackers may gather this information and attempt to use it against you. As you become more public, be cautious about the ways information about you is being shared, and how that information could be used by cyber criminals to access you.

What are some of the other ways threat actors are gaining access to personal information?

The rise of political uncertainty and natural disasters is also creating new ways for threat actors to target individuals. Any time you have a major event – whether it be wildfires or geopolitical conflicts – fraudsters will find a way to take advantage of the situation for their own benefit. We must all be cautious when it comes to donations: clicking links, opening attachments, or giving out personal and financial information. Make sure the organizations you’re working with are who they claim to be.

Does where you live matter when it comes to the likelihood of an attack?

With advances in technology, attackers can access targets across the globe. As long as you’re connected to the internet, you’re at risk. In some cases, threat actors actually prefer targeting smaller companies because they don’t necessarily have the resources in place to actively be detecting and mitigating attacks.

What can an organization or individual do to protect themselves?

The harder a target you make your family office or organization – the better off it will be. Increasingly, attacks are becoming automated, so it’s important to protect yourself against this type of threat. This includes putting initiatives such as multi-factor authentication and encryption in place, as well as installing security patches to remove vulnerabilities within your networks. We keep reinforcing password best practices because strong, complex passwords remain an important tool to protect against threat actors.

In addition to having policies that govern how information can be shared and how to confirm the identity of an individual, family offices might also consider partnering with a dedicated cyber security firm or a reputable law firm that has experience in cyber security. Before you hire anyone to bolster your cyber security, however, do your due diligence. There is more demand for cyber security talent than there are credible people to meet the demand. Sometimes people hire a “cyber expert” only to find out later that the individual isn't up to the task.

A small organization may not have a dedicated IT team, so how should they approach cyber security?

It’s important to identify someone within the organization to be the point of contact on cyber security. They may start by establishing security best practices required by members and an incident response plan that lists steps to take in the event of an attack. That incident response plan should include details about any cyber insurance, outside legal counsel and other external partners or resources to work with in an emergency.

There are many excellent resources online; BMO provides general security information and resources on bmo.com/security, including security tips, articles on threats and how to help stay protected, updates on fraud scams and more.

Any final tips?

I want to emphasize again that no one should feel guilty for falling victim to a cyberattack or a fraud scheme. If somebody makes a mistake, there needs to be a general feeling throughout the family that it’s better to take action immediately, than to hide it. For more information, please speak to your BMO Private Wealth professional.

Contribuez à protéger votre bureau de gestion familiale contre une cyberattaque

Par : Larry Zelvin

Stratégies et planification de patrimoine juillet 07, 2025

Les bureaux de gestion familiale visent à protéger et à faire croître le patrimoine des Canadiens à valeur nette élevée, un travail rendu plus difficile en raison des cyberattaques. Avec des actifs à valeur élevée et des renseignements confidentiels, les bureaux de gestion familiale sont des cibles attrayantes pour les auteurs de menaces. Selon un sondage mené par le cabinet d’avocats mondial Dentons, plus de 70 % des bureaux de gestion familiale indiquent que la probabilité d’une cyberattaque a considérablement augmenté.

Les cybercriminels deviennent de plus en plus sophistiqués, et plusieurs d’entre eux utilisent des technologies d’intelligence artificielle pour créer des messages vocaux convaincants afin de les utiliser dans leurs escroqueries. De plus, l’incertitude politique croissante et les récentes catastrophes naturelles leur donnent de nouvelles occasions d’attaquer.

Larry Zelvin, vice-président à la direction et chef, Unité Crime financier à BMO Groupe financier, compte parmi les autorités de premier plan sur les risques cybernétiques. Après avoir occupé les postes de directeur général et chef mondial de la cybersécurité à Citigroup et de directeur général du Centre national d’intégration de la cybersécurité et des communications au département de la Sécurité intérieure des États-Unis, il met sa vaste expérience au service de ses clients pour les aider à améliorer leurs connaissances en matière de sécurité.

Quels sont certains des principaux risques liés à la cybersécurité pour les bureaux de gestion familiale?

Les bureaux de gestion familiale comprennent souvent des personnes d’âges et d’habitudes numériques différents. Les personnes plus jeunes ont tendance à cliquer sur des liens ou à télécharger des applications sans d’abord s’assurer qu’ils sont sûrs, ce qui présente un risque. Les générations plus âgées sont ciblées par des campagnes de piratage psychologique sophistiquées. Les deux groupes peuvent être réticents à s’exprimer lorsqu’ils ont été victimisés, car ils se sentent gênés. Personne ne devrait avoir honte d’être victime d’une escroquerie dans un contexte où les auteurs et les stratagèmes de menaces sont de plus en plus complexes.

Il est important de créer une culture de sécurité au sein des bureaux de gestion familiale, en encourageant les membres à suivre le principe suivant : si vous voyez quelque chose, dites quelque chose. Chaque atteinte à la sécurité commence par une entrée : un point de départ. Il peut s’agir du mot de passe d’une personne qui a été compromis en raison d’une attaque de piratage psychologique ou d’un message d’hameçonnage. La menace peut rapidement passer d’une personne à un bureau de gestion familiale, puis à une entreprise, en particulier si cette personne utilise le même mot de passe pour plusieurs comptes.

Dans quelle mesure les bureaux de gestion familiale sont-ils outillés pour se préparer contre une attaque?

Bien que la menace soit toujours présente, les bureaux de gestion familiale s’améliorent dans la gestion du risque de cyberattaques. Une tactique très simple consiste à créer un code d’accès partagé qui n’est connu que dans la famille. C’est particulièrement utile avec les vidéos ou les appels téléphoniques hypertruqués, qui peuvent être suffisamment convaincants pour vous faire croire que vous parlez à une personne réelle, même à une personne que vous connaissez bien. Tout comme les autres formes de piratage psychologique, les hypertrucages peuvent utiliser des tactiques émotionnelles ou d’urgence, comme prétendre qu’une personne est malade ou a été arrêtée. Si vous recevez cet appel, prenez un moment, respirez et résistez à l’envie d’agir rapidement et de façon impulsive. Demandez le code d’accès de la famille pour vous assurer que la personne à qui vous parlez est bien celle qu’elle prétend être. Lorsque vous créez un code d’accès, assurez-vous qu’il est différent de tous les autres mots de passe. De plus, les codes d’accès ne doivent pas être des éléments liés à votre famille qu’un fraudeur pourrait facilement trouver en ligne, tels que des noms de rue, des dates d’anniversaire, des animaux de compagnie ou d’autres renseignements personnels susceptibles d’être partagés en ligne. Ils doivent également être modifiés de temps à autre.

Étant donné que les personnes les plus fortunées ont souvent une personnalité publique et un profil en ligne, les pirates informatiques peuvent recueillir ces renseignements et tenter de les utiliser contre vous. À mesure que vous devenez plus visible, faites preuve de prudence quant à la façon dont les renseignements à votre sujet sont partagés et à la façon dont ces renseignements pourraient être utilisés par des cybercriminels pour vous atteindre.

Quelles sont les autres façons dont les auteurs de menaces accèdent aux renseignements personnels?

L’augmentation de l’incertitude politique et des catastrophes naturelles crée également de nouvelles façons pour les auteurs de menaces de cibler des personnes. Chaque fois que vous avez un événement important, qu’il s’agisse de feux de forêt ou de conflits géopolitiques, les fraudeurs trouveront un moyen de tirer profit de la situation. Nous devons tous être prudents lorsqu’il est question de dons : cliquer sur des liens, ouvrir des pièces jointes ou fournir des renseignements personnels et financiers. Assurez-vous que les organisations avec lesquelles vous travaillez sont bien celles qu’elles prétendent être.

L’endroit où vous vivez est-il important en ce qui a trait à la probabilité d’une attaque?

Avec les progrès technologiques, les attaquants peuvent accéder à des cibles partout dans le monde. Tant que vous êtes connecté à Internet, vous courez des risques. Dans certains cas, les auteurs de menaces préfèrent cibler les petites entreprises, car elles ne disposent pas nécessairement des ressources nécessaires pour détecter et atténuer activement les attaques.

Que peut faire une organisation ou un particulier pour se protéger?

La meilleure protection pour votre bureau de gestion familiale ou votre organisation est de la rendre la plus difficile possible à cibler. Étant donné que les attaques sont de plus en plus automatisées, il est important de se protéger contre ce type de menace. Pour cela, vous pouvez mettre en place des initiatives telles que l’authentification multifactorielle et le chiffrement, ainsi qu’installer des correctifs de sécurité pour éliminer les vulnérabilités de vos réseaux. Nous continuons à renforcer les meilleures pratiques en matière de mots de passe, car des mots de passe forts et complexes restent un outil important pour se protéger contre les menaces.

En plus d’avoir des politiques qui régissent la façon dont les renseignements peuvent être partagés et la façon de confirmer l’identité d’une personne, les bureaux de gestion familiale peuvent également envisager de collaborer avec une société de cybersécurité attitrée ou un cabinet d’avocats réputé qui a de l’expérience dans ce domaine. Toutefois, avant d’embaucher quelqu’un pour renforcer votre cybersécurité, faites preuve de diligence raisonnable. La demande de talents en matière de cybersécurité est supérieure au nombre de personnes crédibles pour y faire face. Parfois, les personnes embauchent un « expert » en cybersécurité pour découvrir par la suite que celui-ci n’est pas à la hauteur de la tâche.

Une petite entreprise peut ne pas disposer d’une équipe informatique attitrée. Comment doit-elle donc aborder la cybersécurité?

Il est important de déterminer au sein de l’organisation une personne qui sera le point de contact pour la cybersécurité. Les petites entreprises peuvent commencer par établir les meilleures pratiques de sécurité requises par les membres de bureaux de gestion familiale et un plan d’intervention en cas d’incident qui énumère les mesures à prendre en cas d’attaque. Ce plan d’intervention en cas d’incident doit inclure des détails sur toute cyberassurance, tout conseiller juridique externe et tout autre partenaire ou toute ressource externe avec lequel travailler en cas d’urgence.

Il existe de nombreuses ressources en ligne de qualité; BMO fournit des informations générales et des ressources sur la sécurité sur bmo.com/securite, notamment des conseils de sécurité, des articles sur les menaces et sur la manière de se protéger, des mises à jour sur les escroqueries et bien plus encore.

Avez-vous de derniers conseils?

Je tiens à souligner à nouveau que personne ne devrait se sentir coupable d’être victime d’une cyberattaque ou d’un stratagème de fraude. Si quelqu’un fait une erreur, il doit y avoir un sentiment général au sein de la famille qu’il est préférable d’agir immédiatement que de cacher la vérité. Pour en savoir plus, veuillez vous adresser à votre conseiller de BMO Gestion privée.

Larry Zelvin Chef, Unité Crime financier – équipes Cybersécurité, Gestion du risque de fraude, Sécurité physique et Gestion de crise, BMO Groupe financier

Larry Zelvin est chef, Unité Crime financier à BMO Groupe financier, où il est responsable de l’ensemble de la cybersécu…

VOIR LE PROFIL

Larry Zelvin Chef, Unité Crime financier – équipes Cybersécurité, Gestion du risque de fraude, Sécurité physique et Gestion de crise, BMO Groupe financier

VOIR LE PROFIL