Cybersécurité : l’AMF publie une synthèse des dispositifs des sociétés de gestion

Asset Management - Cette semaine, l'Autorité des marchés financiers (AMF) publie une nouvelle synthèse des contrôles SPOT sur le dispositif de cybersécurité des sociétés de gestion de portefeuille. Elle a porté sur la revue des dispositifs de cybersécurité de 5 acteurs.

L’Autorité des marchés financiers (AMF) publie ce lundi 16 décembre une synthèse de ses contrôles thématiques sur les dispositifs de cybersécurité en place dans les sociétés de gestion. Conformément à ses priorités de supervision pour l’année, l’AMF a mené des contrôles courts et thématiques de Supervision des Pratiques Opérationnelle et Pratique — dits « SPOT » — dans 5 sociétés de gestion de portefeuille. Forte de ses observations, l’AMF met en avant les bonnes pratiques constatées. Le régulateur a examiné :

  • l’organisation des dispositifs de cybersécurité en matière de moyens humains et techniques ;
  • la gouvernance de ces dispositifs ;
  • les dispositifs d’administration et de surveillance du système d’Information ;
  • le processus de gestion des incidents cyber ;
  • la gestion des données sensibles ;
  • le plan de continuité d’activité ;
  • le contrôle interne en place sur le système d’information et sur le dispositif de cybersécurité.

Evaluer le risque cyber

L’AMF a considéré le risque cyber comme découlant de toute atteinte malveillante potentielle — interne ou externe — à l’une des caractéristiques clés du système d’information d’une société de gestion que sont sa disponibilité, son intégrité, la confidentialité des données qu’il traite et la traçabilité des actions qui y sont menées. L’AMF constate que les établissements contrôlés commencent à prendre la mesure du risque cyber.

Elle l’intègre dans leur cartographie des risques, en collectant les incidents de cybersécurité et en appelant à des prestataires spécialisés pour vérifier ponctuellement la robustesse de leur système d’information. En revanche, les dispositifs analysés ne prennent pas en compte les impacts potentiels de la matérialisation des risques de cybersécurité sur la conformité réglementaire des établissements : niveau de fonds propres réglementaires, conservation des données sensibles, maintien d’un plan de continuité d’activité efficace et maintien de moyens informatiques adaptés.

Gestion des incidents cyber

L’AMF a constaté l’absence quasi-générale de cartographie des données sensibles et des systèmes critiques, ainsi que d’une politique de classification des données, d’où un risque de couverture partielle des risques majeurs par le dispositif de contrôle. De surcroît, l’identification formelle des incidents cyber, pour l’évaluation continue du niveau de risque associé, s’avère malaisée dans les bases de collecte existantes. Enfin, les vulnérabilités identifiées ou confirmées par le contrôle interne ne font pas l’objet d’une remédiation suffisamment rapide et suivie.

Pour les sociétés de gestion appartenant à un groupe — majorité de l’échantillon testé —, il a été identifié un pilotage interne insuffisant des prestations relatives à l’informatique, la cybersécurité et la continuité d’activité réalisées par la maison-mère. Or, la réalisation technique de ces prestations par le groupe ne saurait exonérer les sociétés de gestion de leurs responsabilités quant à la définition (prioritaire) des principales zones de risque et au pilotage des contrôles associés.

Bonnes pratiques observées

Parmi les bonnes pratiques, l’AMF relève par exemple le fait :

  • d’assurer l’indépendance de la fonction RSSI (Responsable de la Sécurité des Systèmes d’Information) par rapport à la DSI (Direction des systèmes d’information) soit par un rattachement (hiérarchique ou fonctionnel) du RSSI au comité exécutif, soit par l’instauration d’une fonction de contrôle indépendante des activités du RSSI ;
  • de sensibiliser les collaborateurs de la SGP aux risques de cybersécurité en intégrant ces derniers au plan de formation annuel et réaliser, au moins annuellement, un test de réaction des collaborateurs à une tentative d’hameçonnage par courriel (« phishing ») ;
  • d’intégrer, dans la stratégie de continuité d’activité de la SGP, la vérification régulière : des capacités de travail collaboratif des équipes clés en situation de crise, de la capacité à restaurer les données sauvegardées, du niveau de sécurité physique et informatique des installations de secours.

Mauvaises pratiques et suites

À l’inverse, l’AMF a relevé les mauvaises pratiques suivantes :

  • déployer un dispositif de cybersécurité en l’absence d’identification préalable, de classification par niveau de criticité (en fonction des critères DICT) et de revue régulière des données et des systèmes informatiques sensibles ;
  • cantonner, dans la cartographie des risques des SGP, l’analyse des risques de cybersécurité aux seuls impacts de risque opérationnel sur les fonds et/ou mandats gérés ;
  • ne pas assurer le blocage des ports USB des postes utilisateurs ;
  • déployer le processus de contrôle permanent/périodique des prestataires informatiques externes sensibles sur la base d’une liste non exhaustive de ces derniers.

Au-delà de la synthèse publiée ce jour, cette série de contrôles SPOT a donné lieu à l’envoi de lettres de suites aux SGP concernées. Les risques de cybersécurité feront l’objet d’autres contrôles de l’AMF dans les mois à venir. À l’aune des constats effectués à l’issue de ces contrôles, l’AMF envisage d’élaborer une doctrine spécifique à la cybersécurité et proportionnée en fonction de la taille des acteurs. 

La Rédaction - Le Courrier Financier

L'équipe des rédacteurs du Courrier Financier

Voir tous les articles de La Rédaction