Après un premier exercice dont les enseignements ont été publiés en décembre 2019, l’AMF a examiné les dispositifs mis en place par 6 autres établissements, tests d’intrusion à l’appui. Dans un document de synthèse, elle met en avant les bonnes pratiques et les points de vigilance.
A l’occasion d’une nouvelle série de contrôles thématiques courts (SPOT), l’AMF a analysé les pratiques opérationnelles de 5 sociétés de gestion de taille moyenne pour faire face au risque d’une atteinte malveillante à la disponibilité, l’intégrité, la confidentialité et la traçabilité de leurs systèmes d’information. Ses constats ont été enrichis des observations faites à l’occasion d’un contrôle classique réalisé auprès d’un sixième établissement, spécialisé dans le capital-investissement.
Les points d’attention du régulateur ont porté sur :
- l’organisation et la gouvernance du dispositif de cybersécurité ;
- le pilotage des prestataires informatiques sensibles ;
- la gestion des incidents d’origine cyber ;
- la supervision des processus d’accès à distance au système d’information.
La période d’étude, 2017-2020, a permis une analyse du dispositif de pilotage des risques d’origine cyber mis en place lors du premier confinement, incluant l’activation des plans de continuité d’activité et la supervision des connexions à distance des collaborateurs et des partenaires au système d’information des sociétés de gestion. L’AMF a, par ailleurs, complété son examen par des tests d’intrusion dont la réalisation opérationnelle a été déléguée à un prestataire externe qualifié par l’Agence nationale de sécurité des systèmes d’informations (ANSSI).
Dans son document de synthèse, le régulateur constate un renforcement de l’organisation et de la gouvernance des dispositifs de cybersécurité au sein des sociétés de gestion. Parmi les bonnes pratiques observées, le régulateur a, par exemple, relevé la prise en charge du sujet par un cadre dédié au sein du comité exécutif, la mise en œuvre de campagnes de sensibilisation régulières des collaborateurs et la prise en compte des risques d’origine cyber dans les cartographies des risques et les plans de contrôle.
En revanche, le travail de formalisation progressive d’une stratégie de cybersécurité, déjà observé en 2019, demeure inabouti sans l’élaboration, au préalable, d’une classification et d’une cartographie des données sensibles et des systèmes critiques. En outre, compte tenu de la multiplication et de la sophistication croissante des attaques observées par le régulateur, le pilotage et le contrôle des interactions entre les sociétés de gestion et leurs prestataires informatiques externes doivent rester des priorités au moment de définir, en amont, les efforts de sécurisation.