L’AMF durcit le ton sur la cybersécurité des sociétés de gestion après son dernier audit
Le 21 décembre 2023 marquait une étape clé dans l’engagement continu de l’AMF pour renforcer la cybersécurité au sein des sociétés de gestion financière. À travers la publication de la synthèse de sa troisième campagne de contrôles thématiques, l’autorité a mis en lumière sa détermination à évaluer et améliorer la capacité des gestionnaires à prévenir et gérer efficacement toute atteinte malveillante aux systèmes d’information.
Ces atteintes, potentiellement préjudiciables à la sécurité des données et à l’intégrité des opérations, mettent en péril non seulement les fonds d’investissement et les mandats gérés mais aussi le respect des obligations réglementaires et la protection des clients.
Dans cette démarche, l’AMF a souligné deux niveaux de vigilance essentiels :
Premièrement, la nécessité de protéger les données sensibles, souvent manipulées par des prestataires informatiques clés, y compris ceux offrant des services Cloud.
Deuxièmement, l’importance de sécuriser toutes les interactions électroniques impliquant des données sensibles, que les sociétés de gestion entretiennent avec d’autres partenaires vitaux pour leurs activités.
L’examen de cinq sociétés de gestion a révélé des lacunes notables dans leurs dispositifs de cybersécurité, en particulier en ce qui concerne la supervision de l’utilisation des canaux informatiques par les collaborateurs pour l’échange de données sensibles avec des partenaires.
Cette constatation met en évidence l’importance cruciale de sensibiliser les collaborateurs à la cybersécurité, soulignant que les mesures de protection ne se limitent pas à la technologie mais englobent également une gestion avisée des comportements humains.
L’AMF a également accentué l’importance, lors de la sélection, de la contractualisation et du contrôle des prestataires informatiques et partenaires, de prendre en compte leur robustesse en matière de cybersécurité, leur gestion des incidents et leur capacité à assurer la continuité des activités. Ces critères sont fondamentaux pour établir une confiance numérique solide, évitant ainsi les vulnérabilités qui pourraient exposer les sociétés de gestion à des risques significatifs.
L’approche proactive recommandée par l’AMF, en préparation à l’application du règlement européen DORA dès le 17 janvier 2025, exige des sociétés de gestion qu’elles adoptent une stratégie de gestion des risques robuste et équilibrée. Cela implique d’allouer les ressources humaines et financières nécessaires, d’utiliser des outils techniques adéquats, de cartographier précisément les risques, d’instaurer des procédures internes, de réaliser des contrôles réguliers et de mettre en place un plan de continuité d’activité.
En insistant sur la sensibilisation des collaborateurs à la cybersécurité, l’AMF pointe vers une culture de sécurité intégrée, où chaque membre de l’organisation joue un rôle crucial dans la prévention et la gestion des incidents de cybersécurité. Cette démarche vise non seulement à prévenir les incidents mais aussi à les anticiper, renforçant ainsi la résilience opérationnelle des sociétés de gestion dans le paysage numérique en évolution rapide.