AMF

AMF : synthèse contrôles SPOT / cybersécurité

Veille réglementaire

AMF : synthèse contrôles SPOT sur les dispositifs de cybersécurité en place au sein des SGP

Conformément à ses priorités de supervision pour l’année 2019, l’AMF a passé en revue les dispositifs de cybersécurité de cinq sociétés de gestion de portefeuille.

Parmi les bonnes pratiques observées, l’AMF relève par exemple le fait :

  • d’assurer l’indépendance de la fonction RSSI (Responsable de la Sécurité des Systèmes d’Information) par rapport à la DSI (Direction des systèmes d’information) soit par un rattachement (hiérarchique ou fonctionnel) du RSSI au comité exécutif, soit par l’instauration d’une fonction de contrôle indépendante des activités du RSSI ;
  • de sensibiliser les collaborateurs de la SGP aux risques de cybersécurité en intégrant ces derniers au plan de formation annuel et réaliser, au moins annuellement, un test de réaction des collaborateurs à une tentative d’hameçonnage par courriel (« phishing ») ;
  • d’intégrer, dans la stratégie de continuité d’activité de la SGP, la vérification régulière : (i) des capacités de travail collaboratif des équipes clés en situation de crise, (ii) de la capacité à restaurer les données sauvegardées, (iii) du niveau de sécurité physique et informatique des installations de secours ;

À l’inverse, l’AMF a relevé les mauvaises pratiques suivantes :

  • déployer un dispositif de cybersécurité en l’absence (i) d’identification préalable, (ii) de classification par niveau de criticité (en fonction des critères DICT) et (iii) de revue régulière des données et des systèmes informatiques sensibles ;
  • cantonner, dans la cartographie des risques des SGP, l’analyse des risques de cybersécurité aux seuls impacts de risque opérationnel sur les fonds et/ou mandats gérés ;
  • ne pas assurer le blocage des ports USB des postes utilisateurs ;
  • déployer le processus de contrôle permanent/périodique des prestataires informatiques externes sensibles sur la base d’une liste non exhaustive de ces derniers.

Au-delà de la synthèse publiée ce jour, cette série de contrôles SPOT a donné lieu à l’envoi de lettres de suites aux SGP concernées. Les risques de cybersécurité feront l’objet d’autres contrôles de l’AMF dans les mois à venir. À l’aune des constats effectués à l’issue de ces contrôles, l’AMF envisage d’élaborer une doctrine spécifique à la cybersécurité et proportionnée en fonction de la taille des acteurs.

Découvrir également