SGP : synthèse sur les dispositifs de cybersécurité
À l’occasion d’une série de contrôles thématiques courts (SPOT), l’AMF a analysé les pratiques opérationnelles de 5 sociétés de gestion de taille moyenne pour faire face au risque d’une atteinte malveillante à la disponibilité, l’intégrité, la confidentialité et la traçabilité de leurs systèmes d’information. Ses constats ont été enrichis des observations faites à l’occasion d’un contrôle classique réalisé auprès d’un sixième établissement, spécialisé dans le capital-investissement.
Dans son document de synthèse, l’AMF constate un renforcement de l’organisation et de la gouvernance des dispositifs de cybersécurité au sein des sociétés de gestion. Parmi les bonnes pratiques observées, elle relève la prise en charge du sujet par un cadre dédié au sein du comité exécutif, la mise en œuvre de campagnes de sensibilisation régulières des collaborateurs et la prise en compte des risques d’origine cyber dans les cartographies des risques et les plans de contrôle.
En revanche, le travail de formalisation progressive d’une stratégie de cybersécurité demeure inabouti sans l’élaboration, au préalable, d’une classification et d’une cartographie des données sensibles et des systèmes critiques. En outre, compte tenu de la multiplication et de la sophistication croissante des attaques observées par le régulateur, le pilotage et le contrôle des interactions entre les sociétés de gestion et leurs prestataires informatiques externes doivent rester des priorités au moment de définir, en amont, les efforts de sécurisation.
Sources :