Cybersécurité : l’AMF constate la persistance de mauvaises pratiques chez les sociétés de gestion

information fournie par Newsmanagers •28/12/2023 à 08:15

Après deux premiers exercices dont les enseignements ont été dévoilés en 2019 et 2021, l’Autorité des marchés financiers (AMF) a analysé, à l’occasion d’une nouvelle série de contrôles thématiques courts (Spot), les pratiques de cinq sociétés de gestion de taille moyenne pour faire face au risque cyber.

Ce dernier se définit comme « découlant d’une atteinte malveillante potentielle à la disponibilité, l’intégrité, la confidentialité des données ou à la traçabilité des actions au sein des systèmes d’information des établissements du panel », précise le régulateur.

L’AMF constate la permanence de deux mauvaises pratiques pourtant déjà identifiées lors des deux premières campagnes de contrôles Spot cybersécurité. Elles concernent le processus de sélection et de contractualisation avec les prestataires informatiques et les autres partenaires, ainsi que le contrôle de premier niveau de ceux-ci.

Plus précisément, il s’agit de la prise en compte insuffisante des vulnérabilités potentielles des canaux d’échanges de données informatiques avec les autres partenaires dans la cartographie des systèmes d’informations (SI), et de la limitation de la surveillance automatisée du SI aux seules heures ouvrées. Sur ce même processus, le régulateur constate également que la prise en compte des critères relatifs à la cybersécurité dans la sélection formelle des prestataires informatiques et des autres partenaires, pourtant identifiée comme une bonne pratique lors de la campagne Spot 2020, n’est pas l’approche majoritaire des cinq sociétés de gestion composant le panel 2023. De plus, l’existence de plusieurs vulnérabilités standards au sein du dispositif des sociétés de gestion du panel, nécessitant des remédiations simples et peu coûteuses, est « préoccupante », selon l’AMF.

Le régulateur donne l’exemple d’une société de gestion qui cumule des vulnérabilités matérielles (postes de travail et courriels non chiffrés, ports USB non bloqués) et organisationnelles (absence de formation des collaborateurs aux risques d’origine cyber), un processus opaque (et insuffisamment contrôlé) de sélection et de suivi des prestataires informatiques et des autres partenaires à l’absence de tests réguliers de son PCA, malgré une cinquantaine d’attaques par phishing répertoriées au cours de la période sous contrôle.

L’AMF n’a pas, à ce stade, engagé de procédures répressives pour dispositif cyber défaillant auprès des sociétés de gestion. Mais « de telles carences, si elles devaient perdurer, pourraient être de nature à justifier à l’avenir une telle procédure », prévient-elle.