Actualités

Régulation

L’AMF publie la synthèse de contrôles sur les dispositifs de cybersécurité des sociétés de gestion

AOF - 07 avril 2021


(AOF) - A l'occasion d'une nouvelle série de contrôles thématiques courts (SPOT), l'AMF a analysé les pratiques opérationnelles de 5 sociétés de gestion de taille moyenne pour faire face au risque d'une atteinte malveillante à la disponibilité, l'intégrité, la confidentialité et la traçabilité de leurs systèmes d'information. Ses constats ont été enrichis des observations faites à l'occasion d'un contrôle classique réalisé auprès d'un sixième établissement, spécialisé dans le capital-investissement.

Les points d'attention du régulateur ont porté sur : l'organisation et la gouvernance du dispositif de cybersécurité ; le pilotage des prestataires informatiques sensibles ; la gestion des incidents d'origine cyber ; la supervision des processus d'accès à distance au système d'information.

La période d'étude, 2017-2020, a permis une analyse du dispositif de pilotage des risques d'origine cyber mis en place lors du premier confinement, incluant l'activation des plans de continuité d'activité et la supervision des connexions à distance des collaborateurs et des partenaires au système d'information des sociétés de gestion.

L'AMF a, par ailleurs, complété son examen par des tests d'intrusion dont la réalisation opérationnelle.

Dans son document de synthèse, le régulateur constate un renforcement de l'organisation et de la gouvernance des dispositifs de cybersécurité au sein des sociétés de gestion.

Parmi les bonnes pratiques observées, le régulateur a, par exemple, relevé la prise en charge du sujet par un cadre dédié au sein du comité exécutif, la mise en œuvre de campagnes de sensibilisation régulières des collaborateurs et la prise en compte des risques d'origine cyber dans les cartographies des risques et les plans de contrôle.

En revanche, le travail de formalisation progressive d'une stratégie de cybersécurité, déjà observé en 2019, demeure inabouti sans l'élaboration, au préalable, d'une classification et d'une cartographie des données sensibles et des systèmes critiques.

En outre, compte tenu de la multiplication et de la sophistication croissante des attaques observées par le régulateur, le pilotage et le contrôle des interactions entre les sociétés de gestion et leurs prestataires informatiques externes doivent rester des priorités au moment de définir, en amont, les efforts de sécurisation.