L’Autorité des marchés financiers publie la synthèse d’une nouvelle série de contrôles thématiques sur les dispositifs de cybersécurité des sociétés de gestion. Bonnes pratiques et points de vigilance…

Après un premier exercice dont les enseignements ont été publiés en décembre 2019, l’Autorité des marchés financiers a examiné les dispositifs mis en place par six autres établissements, tests d’intrusion à l’appui. Dans un document de synthèse, elle met en avant les bonnes pratiques et les points de vigilance.

La sophistication constante des attaques constatées par l’AMF sur les sociétés supervisées traduit une connaissance sans cesse accrue des pirates sur les flux d’échanges de données entre les SGP et ces acteurs externes, d’où la nécessité pour les sociétés supervisées de définir en amont et clairement les actifs principaux sur lesquels l’effort de sécurisation doit porter en priorité. La présente synthèse a pour objet d’apporter un éclairage sur les pratiques des SGP sous revue sur le dispositif de cybersécurité de leurs données sensibles, de leurs processus clés et de leur SI en général.

Toutefois, l’AMF souligne que « ce document [Synthèse des contrôles SPOT sur le dispositif de cyber sécurité des sociétés de gestion de portefeuille n°2, nldr] ne constitue ni une position, ni une recommandation. Les pratiques identifiées comme “bonnes” ou “mauvaises” soulignent des approches constatées lors des contrôles et susceptibles de favoriser ou de faire obstacle au respect de la réglementation ».

A l’occasion d’une nouvelle série de contrôles thématiques courts (SPOT), l’AMF a analysé les pratiques opérationnelles de cinq sociétés de gestion de taille moyenne pour faire face au risque d’une atteinte malveillante à la disponibilité, l’intégrité, la confidentialité et la traçabilité de leurs systèmes d’information. Ses constats ont été enrichis des observations faites à l’occasion d’un contrôle classique réalisé auprès d’un sixième établissement, spécialisé dans le capital-investissement.

Selon cette synthèse, les points d’attention du régulateur ont porté sur l’organisation et la gouvernance du dispositif de cybersécurité ; le pilotage des prestataires informatiques sensibles ; la gestion des incidents d’origine cyber ; la supervision des processus d’accès à distance au système d’information.

La période d’étude, 2017-2020, a permis une analyse du dispositif de pilotage des risques d’origine cyber mis en place lors du premier confinement, incluant l’activation des plans de continuité d’activité et la supervision des connexions à distance des collaborateurs et des partenaires au système d’information des sociétés de gestion. L’AMF a, par ailleurs, complété son examen par des tests d’intrusion dont la réalisation opérationnelle a été déléguée à un prestataire externe qualifié par l’Agence nationale de sécurité des systèmes d’informations (ANSSI).

Dans son document de synthèse, le régulateur constate un renforcement de l’organisation et de la gouvernance des dispositifs de cybersécurité au sein des sociétés de gestion. Parmi les bonnes pratiques observées, le régulateur a, par exemple, relevé la prise en charge du sujet par un cadre dédié au sein du comité exécutif, la mise en œuvre de campagnes de sensibilisation régulières des collaborateurs et la prise en compte des risques d’origine cyber dans les cartographies des risques et les plans de contrôle.

En revanche, le travail de formalisation progressive d’une stratégie de cybersécurité, déjà observé en 2019, demeure inabouti sans l’élaboration, au préalable, d’une classification et d’une cartographie des données sensibles et des systèmes critiques. En outre, compte tenu de la multiplication et de la sophistication croissante des attaques observées par le régulateur, le pilotage et le contrôle des interactions entre les sociétés de gestion et leurs prestataires informatiques externes doivent rester des priorités au moment de définir, en amont, les efforts de sécurisation.