Contrôle SPOT de l’AMF sur la cyber sécurité des sociétés de gestion

17 décembre 2019

Le 16 décembre 2019, l’AMF a publié la synthèse de ses contrôles SPOT (Supervision des pratiques opérationnelles et thématiques), effectués en 2019, concernant le dispositif de cybersécurité des sociétés de gestion de portefeuille.

Motivation et objectif

Selon l'AMF, le choix de ce thème a été motivé par la conjonction de nombreux facteurs de risques parmi lesquels la dépendance croissante de l’industrie aux outils dématérialisés et aux prestataires informatiques externes (par exemple : les services « Cloud »).

L'objectif est de s’assurer de la prise en compte adéquate des cyber risques et de l’efficacité des contrôles mis en œuvre pour adresser ces risques.

Cette synthèse SPOT ne constitue ni une position ni une recommandation de l’AMF. Elle a pour objet de présenter les bonnes pratiques observées et les rappels réglementaires en lien avec les non-conformités constatées

Ces contrôles ont été réalisé conjointement sur 5 SGP et ont porté sur la période 2016-2018. La synthèse de ces contrôles intègre également les constats d’un mission de contrôle classique menée en 2019 sur le dispositif de cyber sécurité d’une SGP filiale d’une grande banque française.

Ils ont permis d’examiner

  • l’organisation du dispositif de cyber sécurité des SGP contrôlées
  • la gouvernance de ce dispositif
  • l’administration du Système d’Information (« SI »)
  • le dispositif de surveillance du SI et notamment le processus de gestion des incidents informatiques
  • la gestion des données sensibles
  • le plan de continuité d’activité
  • les contrôles en places sur le SI et le dispositif de cyber sécurité

Contexte

Le risque de cyber sécurité découle de toute atteinte malveillante potentielle, interne ou externe, à l’une des caractéristiques clés du Système d’Information d’une SGP : sa Disponibilité, son Intégrité, la Confidentialité des données qu’elle traite, la Traçabilité de leurs actions et leur non répudiation (DICT). Sa réalisation peut conduire à une non-conformité réglementaire de la SGP dans les domaines relatifs à l’existence et au maintien

  • du niveau de fonds propres réglementaires
  • d’une politique rigoureuse de conservation et de maintien des données opérationnelles
  • d’une plan de continuité d’activité
  • de moyens (informatiques) adaptés et suffisants
  • d’une dispositif solide de protection des données sensibles

Les 6 SGP contrôlées

  • Une filiale d’un groupe bancaire français : elle est spécialisée dans le capital-investissement et gère des FPCI et des FPS
  • Une filiale d’une SGP française : elle est spécialisée dans la gestion des fonds monétaires
  • Une filiale d’une banque américaine : elle est spécialisée dans la gestion passive
  • Une filiale d’un groupe financier français : elle est orientée sur une clientèle non-professionnelle
  • Une société entrepreneuriale
  • Une filiale d’une banque française

Enseignements

L’ensemble des SGP prend la mesure du risque cyber en l’intégrant dans la cartographie dédiée, mais elles se bornent majoritairement aux risques opérationnels.

En revanche, la mission de contrôle a constaté l’absence fréquente de cartographie exhaustive des données sensibles et des systèmes critiques et d’une politique de classification des données.

Par ailleurs, les incidents de cyber sécurité avérés sont fréquemment confondus avec des  attaques externes ayant été bloquées avec succès.

Pour les SGP appartenant à une groupe (5/6 dont 4 appartenant à des groupes de grande taille), il a été identifié un pilotage insuffisant des prestations rendues par la maison-mère.

La porosité SGP/Groupe génère des situations risquées du point de vue technique (possibilité de déléguer) et organisationnel (en interne).

Le travail principal et prioritaire de protection contre les risque cyber relève de la responsabilité de la SGP.

Lien vers la publication (site de l'AMF, amf-france.org)

Et Marker dans tout cela ? N'hésitez pas à nous contacter pour que nous vous présentions les bonnes pratiques de place.

  • Thomas Martin, Manager - thomas.martin@marker-mc.com
  • Benjamin Guillemet, Consultant - benjamin.guillemet@marker-mc.com