(Crédit image : Getty Images/Gemini Edits)
Il s’agit de l’un des principes d’investissement les plus anciens : « toujours regarder des deux côtés avant de traverser la rue » en matière de conseils financiers. Diversifier.
La plupart des gens envisagent deux types de diversification : la diversification des investissements (ne placez pas tout votre argent dans une seule action ou un seul secteur) et la diversification fiscale (répartir vos investissements sur des comptes bénéficiant de traitements fiscaux différents). L’objectif est de réduire le risque de pertes d’investissement et d’impôts inutiles.
Mais il existe un troisième type de risque qui préoccupe de plus en plus les investisseurs et qui n’a rien à voir avec les marchés. Beaucoup en ont déjà fait l’expérience.
Fidelity, par exemple, a subi une cyberattaque en 2024 qui a exposé les données sensibles appartenant à environ 77 000 clients. À la manière d’un cyber-buffet, les pirates ont potentiellement obtenu des numéros de compte, des numéros de routage, des numéros de sécurité sociale et des informations sur le permis de conduire.
Cela soulève une bonne question : est-il risqué de conserver toutes vos économies dans une seule institution financière ?
Des rapports récents suggèrent que la cybermenace contre les sociétés financières est croissante, ce qui peut faire de la « diversification institutionnelle » – détenir des comptes auprès de plusieurs dépositaires – une nouvelle couche de protection intelligente. Nous avons interrogé quatre experts financiers sur cette stratégie.
Le cyber-risque croissant pour les institutions financières — et vous
Les pirates ne s’attaquent pas uniquement aux personnes vulnérables. Ils sont plus que disposés à s’attaquer aux gros poissons. En fait, les cyberattaques contre les sociétés financières ont plus que doublé depuis la pandémie, selon une étude. Rapport du Fonds monétaire international 2024et les pertes extrêmes résultant de ces incidents ont plus que quadruplé depuis 2017, pour atteindre 2,5 milliards de dollars.
Les institutions financières sont confrontées à une augmentation des cyberattaques et des pertes
(Crédit image : Fonds monétaire international)
L’IA peut rendre la menace encore plus difficile à contenir. En avril, Anthropic a déclaré que Claude Mythos, son modèle d’intelligence artificielle capable de trouver et d’exploiter de manière autonome des vulnérabilités logicielles complexes, était si puissant qu’il était trop dangereux pour être diffusé à grande échelle à l’époque.
Alors, que se passe-t-il si votre prochain objectif est l’endroit où vous conservez votre argent ?
La plupart des gens savent que l’assurance FDIC couvre jusqu’à 250 000 $ par déposant et par banque, en cas de faillite d’une banque. Mais les comptes de courtage bénéficient d’un autre type de protection. Si vous devenez victime par l’intermédiaire de votre maison de courtage, vous n’êtes peut-être pas entièrement seul.
« Le SIPC couvre jusqu’à 500 000 $ par compte, et la plupart des dépositaires offrent une couverture excédentaire bien au-delà », note Jeffrey Judge, CFP® et associé directeur de Planificateurs financiers de Chesapeake. Notez cependant que cette protection couvre l’institution et non l’investisseur. La plupart des grands courtiers, tels que Fidelity, Schwab et Vanguard, rembourseront vos pertes en matière de cybersécurité si vous activez l’authentification à deux facteurs, par exemple dans le cadre d’une « garantie de sécurité de courtage ».
La grande question n’est peut-être pas de savoir si vous perdrez votre argent. Il se peut que vous puissiez y accéder quand vous en avez besoin et à quel point les conséquences deviennent compliquées.
« Pannes de dépositaire, migrations de plateformes, acquisitions d’entreprises : ces événements peuvent geler l’accès aux comptes pendant des semaines », déclare Matt ChanceyCFP®. « Si l’intégralité de votre pool de liquidités se trouve dans une seule institution, vous n’avez aucune solution de repli. Pour les retraités qui perçoivent un revenu mensuel, ce n’est pas un problème théorique. »
« Si un retraité répartit ses actifs entre plusieurs entreprises, il se peut qu’il n’atteigne jamais ces seuils de frais inférieurs, ce qui entraînerait une hausse globale des frais payés. » —W.Michael Lofley
Pourquoi répartir votre retraite entre plusieurs dépositaires n’est peut-être pas la solution
Étant donné que les cyber-pertes ont augmenté et que de grandes institutions ont déjà été victimes de violations, la répartition des actifs entre plusieurs dépositaires peut sembler une décision évidente. Mais la plupart des conseillers affirment que ce n’est généralement pas nécessaire.
« Je n’ai jamais recommandé à un client de recourir à plusieurs dépositaires uniquement en raison du cyber-risque », déclare Justin Rice, CFP® et conseiller financier chez Stratégies de patrimoine personnel. « En fait, pour la plupart des gens, je recommande généralement le contraire. La simplicité compte. »
Rice note que de nombreux ménages disposent déjà d’une diversification institutionnelle naturelle – un 401(k) chez un fournisseur, un IRA ailleurs, un compte bancaire chez un tiers – et en ajouter davantage volontairement ne suffit généralement pas. « Pour la plupart des retraités dont la valeur nette est inférieure à environ 10 millions de dollars, un seul dépositaire principal est généralement plus que suffisant. Les principaux dépositaires disposent d’une infrastructure de cybersécurité étendue, d’une surveillance de la fraude, de protections d’assurance et de mesures de protection opérationnelles.
Les coûts de complexité sont également réels. W. Michael Lofley, CFP® et conseiller financier chez Conseillers en patrimoine HBKSsouligne un coût financier rarement évoqué : « Si un retraité répartit ses actifs entre plusieurs entreprises, il se peut qu’il n’atteigne jamais ces seuils de frais inférieurs dans une seule institution, ce qui entraînera une hausse globale des frais payés. »
La coordination est une autre pénalité discrète, ajoute-t-il. C’est difficile de définir le bon risque de portefeuille sans voir ce qui se prend ailleurs, et le même problème touche la planification successorale et la coordination fiscale.
Ensuite, il y a l’administration successorale. « Les désignations de bénéficiaires qui n’ont pas été mises à jour de manière cohérente dans quatre ou cinq institutions font que les familles perdent sept chiffres après le décès du deuxième parent », prévient Chancey. « La mauvaise personne hérite du mauvais compte parce que personne n’a coordonné la paperasse. »
Le juge a été témoin de cette situation. « J’avais une cliente l’année dernière qui voulait faire exactement cela, et lorsque nous avons répertorié les documents relatifs aux bénéficiaires, le suivi des RMD et les 1099 supplémentaires, elle a décidé que la complexité n’en valait pas la peine. »
Si vous vous séparez, voici comment procéder
Pour la plupart des retraités, deux à trois institutions pourraient constituer le plafond pratique.
« De deux à trois, c’est le chiffre Boucle d’or pour la plupart des retraités », déclare Chancey. « Au-delà de cela, les coûts de la complexité commencent rapidement à dépasser les avantages en matière de résilience. » La scission devrait être fonctionnelle plutôt qu’arbitraire, dit-il.
Cela signifie des comptes de courtage et d’investissement auprès d’un ou deux dépositaires. Banque et gestion de trésorerie chez un autre.
« Gardez la cohérence des tranches d’imposition au sein des institutions », ajoute-t-il. « Ne dispersez pas les actifs Roth et les actifs IRA traditionnels sur cinq endroits, sinon le suivi du RMD devient un problème de coordination qui vous coûte de l’argent chaque année. »
Les cyber-mesures qui comptent vraiment
Les experts s’accordent souvent sur le fait que l’utilisateur est généralement le maillon le plus faible, et non l’institution.
« Le risque le plus important ne se situe généralement pas au niveau du dépositaire. Il se situe au niveau du client », explique Rice. « Je préférerais voir les investisseurs consacrer leur énergie à renforcer leurs propres cyber-pratiques au lieu d’ouvrir de multiples relations de garde uniquement par peur des cyberattaques. »
Une protection de base consiste à activer les alertes. « Tous les principaux dépositaires autorisent les notifications par SMS ou par e-mail pour les retraits supérieurs à un seuil que vous avez défini », explique Chancey. « La plupart des retraités ne les ont jamais activés. Un virement bancaire depuis votre compte déclenche une alerte en quelques minutes. Cette pratique unique détecte la forme la plus courante de fraude financière auprès des aînés avant que de réels dommages ne soient causés. »
En cas de fraude d’identité, cela vaut la peine d’envisager un gel de votre crédit dans les trois bureaux. « Le gel est réversible et met fin à la plupart des fraudes basées sur l’identité avant qu’elles ne commencent », a déclaré Judge. « C’est là que se situe le véritable risque, et non le dépositaire qui détient les actifs. »
Vous pouvez également envisager de verrouiller votre numéro de sécurité sociale.
Bien sûr, les conseils sur les mots de passe peuvent ressembler à un disque battu c’est facile à désactiver, mais les mots de passe uniques sont toujours importants, ainsi que l’authentification multifacteur. Après tout, le mot de passe le plus courant au monde est 123456, selon NordPass. Un gestionnaire de mots de passe peut créer et stocker des informations d’identification différentes pour chaque compte, de sorte qu’une violation sur un site ne déverrouille pas le reste.
Et si, comme beaucoup d’entre nous, vous souffrez d’une lassitude liée aux mots de passe, il vaut peut-être la peine de vous rappeler un autre vieux principe : mieux vaut prévenir que guérir.
