Cybersécurité des sociétés de gestion : l’AMF publie une synthèse de contrôles thématiques

La Rédaction
Le Courrier Financier

Après un premier exercice dont les enseignements ont été publiés en décembre 2019, l’Autorité des marchés financiers (AMF) a examiné les dispositifs mis en place par 6 autres établissements, tests d’intrusion à l’appui. Dans un document de synthèse publié ce mercredi 7 avril, elle met en avant les bonnes pratiques et les points de vigilance.

A travers une nouvelle série de contrôles thématiques courts (SPOT), l’AMF a analysé les pratiques opérationnelles de 5 sociétés de gestion de taille moyenne pour faire face au risque d’une atteinte malveillante à la disponibilité, l’intégrité, la confidentialité et la traçabilité de leurs systèmes d’information.

Cybersécurité et analyse des risques

Les constats de l'AMF ont été enrichis des observations faites à l’occasion d’un contrôle classique réalisé auprès d’un sixième établissement, spécialisé dans le capital-investissement. Le régulateur a porté son attention sur les points suivants :

  • l’organisation et la gouvernance du dispositif de cybersécurité ;
  • le pilotage des prestataires informatiques sensibles ;
  • la gestion des incidents d’origine cyber ;
  • la supervision des processus d’accès à distance au système d’information.

La période d’étude (2017-2020à a permis une analyse du dispositif de pilotage des risques d’origine cyber mis en place lors du premier confinement, incluant l’activation des plans de continuité d’activité et la supervision des connexions à distance des collaborateurs et des partenaires au système d’information des sociétés de gestion. L’AMF a complété son examen par des tests d’intrusion, dont la réalisation opérationnelle a été déléguée à un prestataire externe qualifié par l’Agence nationale de sécurité des systèmes d’informations (ANSSI).

Bonnes pratiques et points de vigilance

Dans son document de synthèse, le régulateur constate un renforcement de l’organisation et de la gouvernance des dispositifs de cybersécurité au sein des sociétés de gestion. Parmi les bonnes pratiques observées, le régulateur a relevé la prise en charge du sujet par un cadre dédié au sein du comité exécutif, la mise en œuvre de campagnes de sensibilisation régulières des collaborateurs et la prise en compte des risques d’origine cyber dans les cartographies des risques et les plans de contrôle.

En revanche, le travail de formalisation progressive d’une stratégie de cybersécurité, déjà observé en 2019, demeure non abouti sans l’élaboration, au préalable, d’une classification et d’une cartographie des données sensibles et des systèmes critiques. En outre, compte tenu de la multiplication et de la sophistication croissante des attaques observées par le régulateur, le pilotage et le contrôle des interactions entre les sociétés de gestion et leurs prestataires informatiques externes doivent rester des priorités au moment de définir, en amont, les efforts de sécurisation.

Lire (3 min.)

AMF : quels résultats pour ses contrôles SPOT sur l’évaluation des instruments financiers complexes ?

La Rédaction
Le Courrier Financier

L’Autorité des marchés financiers (AMF) publie ce mardi 29 septembre une synthèse de ses contrôles SPOT sur l’évaluation des instruments financiers complexes. Dans ce cadre, l'AMF a examiné les pratiques de cinq sociétés de gestion et les contrôles de second niveau mis en place. Le régulateur propose un éclairage sur les bonnes et les mauvaises pratiques rencontrées.

Séries de contrôles SPOT pour l'AMF

En application depuis juillet 2014, la directive AIFM sur les gestionnaires de fonds d’investissement alternatifs prévoit des obligations dont l’objectif est de s’assurer que les différents actifs d’un fonds sont correctement valorisés. Ces exigences portent sur le caractère objectif de cette évaluation, sur la justification et la traçabilité des méthodes employées et des valorisations obtenues. 

Après une première série de contrôles SPOT sur les dispositifs d’évaluation des sociétés de capital investissement — dont la synthèse a été publiée en décembre 2018 —, l’AMF a examiné les pratiques de cinq gestionnaires de fonds d’investissement alternatifs en matière de valorisation des instruments financiers complexes sur la période 2017-2019.

Sur cette période, les portefeuilles des sociétés de gestion présentaient des expositions à divers instruments financiers complexes parmi lesquels des contrats à terme sur dividendes, des contrats d’échange sur rendement (total return swaps) ou sur le risque de défaillance d’un émetteur de dette (credit default swaps ou CDS), des options sur CDS ou encore des obligations contingentes convertibles.

Evaluation des politiques et procédures

Sur la période, les cinq sociétés de gestion examinées disposaient bien d’une fonction de gestion des risques indépendante des fonctions de gestion des portefeuilles qui est généralement en charge de l’évaluation. L’AMF relève qu’une bonne pratique consiste à attribuer la responsabilité de l’évaluation à une personne précise. A une exception près, les politiques et procédures définissent bien les obligations, les rôles et les responsabilités de chacun dans le processus d’évaluation.

Toutefois, aucune société de gestion n’a clairement distingué ce qui relève de la politique d’évaluation de ce qui relève des procédures.
Dans la plupart des cas, la description des sources de prix utilisées n’est pas suffisamment détaillée, pour diverses raisons — instruments complexes pouvant appartenir à plusieurs catégories d’instruments financiers mentionnés, absence d’indication concernant l’ordre de priorité des sources de prix ou sources de prix insuffisamment précises.

D’une manière générale, le processus de réexamen de la valorisation des instruments, qui peut se faire via un modèle, une autre source et des contrôles complémentaires, par exemple, n’est pas suffisamment décrit. L’AMF a néanmoins relevé une bonne pratique consistant à synthétiser au sein d’un tableau les sources de prix de référence et leur ordre de priorité pour chaque type d’instrument financier complexe utilisé

Quels modèles d’évaluation ?

Toutes les sociétés disposent de modèles d’évaluation utilisés soit pour la valorisation elle-même soit pour le réexamen de l’évaluation effectuée à partir d’autres sources. La synthèse montre que les modèles utilisés pourraient être davantage documentés et appropriés dans leurs hypothèses de modélisation.

Ceux utilisés à des fins de réexamen n’ont pas toujours été validés formellement par une personne n’ayant pas participé à leur construction. Dans un cas, les modèles utilisés à des fins d’évaluation (et non pas seulement de réexamen) n’ont pas été approuvés par les instances dirigeantes avant leur mise en œuvre.

Dispositif d'évaluation et contrôle de second niveau

Dans la plupart des cas, le processus effectif d’évaluation n’est pas en total accord avec celui décrit dans les politiques et procédures, soit parce que les sources de prix de référence prévues n’ont pas été respectées, soit parce que les modalités de réexamen de l’évaluation sont différentes de celles décrites.

S’agissant du réexamen, l’AMF a observé que la fréquence d’utilisation du modèle n’était pas toujours adaptée à la nature de titres insuffisamment liquides ou non cotés. Elle a constaté, au sein d’un établissement, la bonne pratique consistant à intégrer systématiquement des prix de transaction dans le contrôle de la pertinence des prix de marché et des résultats du modèle.

Les plans de contrôle interne des sociétés examinées mentionnent bien des vérifications portant sur les processus d’évaluation et de réexamen de l’évaluation des instruments financiers complexes à l’actif des fonds. Néanmoins, l’AMF a constaté dans un établissement l’absence de contrôle effectué en 2018 et, dans certains cas, des contrôles n’ayant porté que sur une partie des instruments détenus.

Lire (5 min.)