Cybersécurité : l’AMF publie une synthèse des dispositifs des sociétés de gestion

La Rédaction
Le Courrier Financier
Asset Management
le 16/12/2019

L’Autorité des marchés financiers (AMF) publie ce lundi 16 décembre une synthèse de ses contrôles thématiques sur les dispositifs de cybersécurité en place dans les sociétés de gestion. Conformément à ses priorités de supervision pour l’année, l’AMF a mené des contrôles courts et thématiques de Supervision des Pratiques Opérationnelle et Pratique — dits « SPOT » — dans 5 sociétés de gestion de portefeuille. Forte de ses observations, l'AMF met en avant les bonnes pratiques constatées. Le régulateur a examiné :

  • l’organisation des dispositifs de cybersécurité en matière de moyens humains et techniques ;
  • la gouvernance de ces dispositifs ;
  • les dispositifs d’administration et de surveillance du système d’Information ;
  • le processus de gestion des incidents cyber ;
  • la gestion des données sensibles ;
  • le plan de continuité d’activité ;
  • le contrôle interne en place sur le système d’information et sur le dispositif de cybersécurité.

Evaluer le risque cyber

L’AMF a considéré le risque cyber comme découlant de toute atteinte malveillante potentielle — interne ou externe — à l’une des caractéristiques clés du système d’information d’une société de gestion que sont sa disponibilité, son intégrité, la confidentialité des données qu’il traite et la traçabilité des actions qui y sont menées. L’AMF constate que les établissements contrôlés commencent à prendre la mesure du risque cyber.

Elle l’intègre dans leur cartographie des risques, en collectant les incidents de cybersécurité et en appelant à des prestataires spécialisés pour vérifier ponctuellement la robustesse de leur système d’information. En revanche, les dispositifs analysés ne prennent pas en compte les impacts potentiels de la matérialisation des risques de cybersécurité sur la conformité réglementaire des établissements : niveau de fonds propres réglementaires, conservation des données sensibles, maintien d’un plan de continuité d’activité efficace et maintien de moyens informatiques adaptés.

Gestion des incidents cyber

L’AMF a constaté l’absence quasi-générale de cartographie des données sensibles et des systèmes critiques, ainsi que d’une politique de classification des données, d’où un risque de couverture partielle des risques majeurs par le dispositif de contrôle. De surcroît, l’identification formelle des incidents cyber, pour l’évaluation continue du niveau de risque associé, s’avère malaisée dans les bases de collecte existantes. Enfin, les vulnérabilités identifiées ou confirmées par le contrôle interne ne font pas l’objet d’une remédiation suffisamment rapide et suivie.

Pour les sociétés de gestion appartenant à un groupe — majorité de l’échantillon testé —, il a été identifié un pilotage interne insuffisant des prestations relatives à l’informatique, la cybersécurité et la continuité d’activité réalisées par la maison-mère. Or, la réalisation technique de ces prestations par le groupe ne saurait exonérer les sociétés de gestion de leurs responsabilités quant à la définition (prioritaire) des principales zones de risque et au pilotage des contrôles associés.

Bonnes pratiques observées

Parmi les bonnes pratiques, l’AMF relève par exemple le fait :

  • d’assurer l’indépendance de la fonction RSSI (Responsable de la Sécurité des Systèmes d’Information) par rapport à la DSI (Direction des systèmes d’information) soit par un rattachement (hiérarchique ou fonctionnel) du RSSI au comité exécutif, soit par l’instauration d’une fonction de contrôle indépendante des activités du RSSI ;
  • de sensibiliser les collaborateurs de la SGP aux risques de cybersécurité en intégrant ces derniers au plan de formation annuel et réaliser, au moins annuellement, un test de réaction des collaborateurs à une tentative d’hameçonnage par courriel (« phishing ») ;
  • d’intégrer, dans la stratégie de continuité d’activité de la SGP, la vérification régulière : des capacités de travail collaboratif des équipes clés en situation de crise, de la capacité à restaurer les données sauvegardées, du niveau de sécurité physique et informatique des installations de secours.

Mauvaises pratiques et suites

À l’inverse, l’AMF a relevé les mauvaises pratiques suivantes :

  • déployer un dispositif de cybersécurité en l’absence d’identification préalable, de classification par niveau de criticité (en fonction des critères DICT) et de revue régulière des données et des systèmes informatiques sensibles ;
  • cantonner, dans la cartographie des risques des SGP, l’analyse des risques de cybersécurité aux seuls impacts de risque opérationnel sur les fonds et/ou mandats gérés ;
  • ne pas assurer le blocage des ports USB des postes utilisateurs ;
  • déployer le processus de contrôle permanent/périodique des prestataires informatiques externes sensibles sur la base d’une liste non exhaustive de ces derniers.

Au-delà de la synthèse publiée ce jour, cette série de contrôles SPOT a donné lieu à l’envoi de lettres de suites aux SGP concernées. Les risques de cybersécurité feront l’objet d’autres contrôles de l’AMF dans les mois à venir. À l’aune des constats effectués à l’issue de ces contrôles, l’AMF envisage d’élaborer une doctrine spécifique à la cybersécurité et proportionnée en fonction de la taille des acteurs. 

Lire (6 min.)

Sébastien RIBEIRO – Keren Finance : Investir dans l’innovation à fort potentiel

La Rédaction
Le Courrier Financier
Asset Management
le 25/05/2018
Dans le contexte actuel de reprise économique, Keren Finance adopte une stratégie à fort potentiel de valorisation. La société investit dans de nombreux projets innovants (IA, big data, cybersécurité ...), mais aussi dans des industries plus classiques, comme le recyclage de métaux ou le camping car. Sébastien Ribeiro, gérant actions de Keren Finance, nous explique le point commun entre ces entreprises : toutes bénéficient d'un cycle de croissance important, laissant espérer de gros rendements.
Voir (<1 min.)

Une croissance mondiale forte mais fragile

Philippe Crevel
Cercle de l'Epargne
Asset Management
le 30/04/2018
En atteignant 3,8 %, la croissance mondiale en 2017 a été la plus rapide depuis 2011.
Lire (5 min.)

Conformité au RGPD : les banques seront-elles prêtes ?

Thomas Hirtzig
Asset Management
le 19/04/2018
Une mise en conformité complète avec le Règlement général sur la protection des données à l’horizon du mois de mai est illusoire pour beaucoup d’établissements. Mais la France bénéficie déjà d’un cadre réglementaire exigeant en matière de protection des données personnelles.
Lire (4 min.)

Talence Gestion innove dans l’ISR avec le lancement du fonds Empreinte Emploi France après 2 années de R&D.

La Rédaction
Le Courrier Financier
Asset Management
le 20/03/2024

L'innovation d'Empreinte Emploi France réside dans sa méthodologie de collecte de données, de modélisation et d'analyse « ImpacTer ». Le modèle « ImpacTer » permet, principalement, d’évaluer les retombées socioéconomiques engendrées par l’activité d’une entreprise sur sa chaîne de valeur comme la création d’emplois et de valeur générées par l’activité de ses fournisseurs implantés sur le territoire. Il permet également d’estimer les retombées fiscales de ces entreprises ou encore les emplois induits par la consommation locale des employés de toute la chaine de valeur française.

Veuillez trouver ci-dessous le lien vers le communiqué de presse (2 pages) :

Communiqué de presse - Talence Gestion innove dans l’ISR avec le lancement du fonds Empreinte Emploi France - 20.03.2024

Didier Demeestère, Président fondateur de Talence Gestion, déclare : « Nous avons développé une expertise unique et nous nous réjouissons de proposer Empreinte Emploi France à notre clientèle privée et à nos clients institutionnels. Ce fonds ISR et article 9 unique en son genre affiche un objectif d’investissement durable au service des emplois et du territoire français. Désormais, l’investisseur d’Empreinte Emploi France pourra constater les retombées socio-économiques induites par les entreprises du fonds. Cette démarche favorisant les entreprises françaises qui relocalisent en France est une réponse à l'aspiration grandissante de donner du sens à ses investissements, pour la construction d’une économie plus durable. »

Lire (2 min.)

Daniel CARCELES, nouveau directeur général d’INOVÉA

La Rédaction
Le Courrier Financier
Actualités
le 15/03/2024

Créé en 2017 par Marc ROSTICHER, Gérard PIERREDON, Yannis HOFFMANN, et Emmanuel HARDY, 4 Conseillers en gestion de patrimoine, INOVÉA change de directeur général. Jean-Paul SERRATO qui accompagnait le réseau depuis sa création part à la retraite et passe le relais à Daniel CARCELES. 

“En 7 ans, nous avons réussi à rassembler des professionnels indépendants qui partagent la conviction que la Gestion de Patrimoine ne doit pas être réservée à une élite. Inovéa compte aujourd’hui 2000 adhérents et 65 salariés : une belle aventure humaine profonde et durable !”  explique Jean-Paul SERRATO

Le nouveau directeur général, Daniel CARCELES, 48 ans, va capitaliser sur ses expériences en France et à l’international chez DELL Technologies et American Express GBT pour accompagner le groupe dans son développement et sa croissance.

Ma décision de rejoindre INOVÉA est motivée par trois piliers fondamentaux : le profond ancrage du groupe dans des valeurs humaines essentielles, une stratégie d'accompagnement client qui repose sur une écoute attentive et précise des besoins plutôt que sur une approche exclusivement guidée par une logique de produit, et une ambition inébranlable de rester innovant en intégrant de manière proactive les changements réglementaires et les évolutions numériques. Cela dans le but de continuer à accomplir notre mission pour rendre la gestion de patrimoine accessible à tous.” détaille Daniel CARCELES.

En pleine accélération dans sa transformation numérique, INOVÉA reste néanmoins fidèle à son ADN : permettre au plus grand nombre d’épargnants de bénéficier de conseils professionnels sur mesure pour les aider à atteindre leurs projets de vie.

Lire (2 min.)

2ème édition des « Banking Cybersecurity Innovation Awards »

La Rédaction
Le Courrier Financier
Asset Management
le 17/04/2018
Startups et PME innovantes dans le domaine de la cybersécurité ont jusqu’au 20 mai pour soumettre leurs produits et services et concourir à l’une des quatre catégories : Grand Prix BCSIA 2018, Protection des données clients, IA et lutte contre la fraude, et Spécial France. Les lauréats seront annoncés le 4 juillet prochain. Ouvert à toutes les startups et PME européennes, innovantes, évoluant dans le secteur de la cybersécurité, cet appel à projet a pour objectif d’offrir une plus grande visibilité à leur solution/service. Inscrit dans une démarche d’open innovation, cet événement vise à créer et multiplier les contacts et les échanges entre les différents acteurs de l’écosystème.
Lire (1 min.)

Prédictions 2018 : bienvenue dans le monde de l’entreprise intelligente

Mark Barrenechea
Asset Management
le 03/01/2018
Tout juste commencé, 2018 sera placée sous le signe de l’entreprise intelligente, de l’IA, des voitures autonomes, des drones, des monnaies virtuelles, des objets connectés (IoT), de la sécurité, du Cloud et des appareils dits de périphérie. Ces technologies devraient non seulement changer notre façon de travailler, mais pourraient également jouer un rôle dans la santé ! Nous assisterons peut-être même à une percée médicale révolutionnaire qui permettra d’éradiquer les pathologies héréditaires.
Lire (9 min.)

Cybercriminalité : comment protéger les PME ?

La Rédaction
Le Courrier Financier
Responsabilité sociale
le 09/05/2016
Avec 66 millions d'attaques dans le monde en 2015, contre 32 en 2013, les problématiques liées à la cybersécurité deviennent incontournables. En France, les cyber-incidents ont augmenté de 51% au cours des 12 derniers mois, et les entreprises ne sont aucunement épargnées. 
Lire (1 min.)