Entreprises d'Investissement  ·  Sociétés de gestion

Contrôles SPOT n°3 – 2023 relatifs au dispositif de cybersécurité des SGP

By Preprod_CiDconsulting  Published On 10 janvier 2024

Le contexte

Pour l’année 2023, l’Autorité des marchés financiers (AMF) a diligenté une 3ème campagne de contrôles SPOT (Supervision des Pratiques Opérationnelle et Thématique) sur le dispositif de cybersécurité de 5 sociétés de gestion de portefeuille (SGP). Ces travaux s’inscrivent dans la continuité de ceux menés en 2019 et 2020. 

La première campagne SPOT sur la thématique cyber avait ciblé principalement, en 2019, les moyens humains et techniques ainsi que la gouvernance mise en œuvre par les SGP au regard des risques d’origine cyber. La deuxième campagne avait approfondi, en 2020, l’analyse sur la gestion des incidents d’origine cyber. Cette troisième campagne de contrôles SPOT a ciblé le processus de sélection, de contractualisation avec les prestataires informatiques sensibles (éditeurs de logiciels, administrateurs et hébergeurs informatiques notamment) et le contrôle de premier niveau de ceux-ci.

Contexte des travaux menés

Les travaux ont couvert :

  • L’organisation et la gouvernance de la cybersécurité ; 
  • Le corps procédural relatif au dispositif général de cybersécurité ; 
  • Le processus (corps procédural et mise en œuvre) de sélection, de contractualisation avec les prestataires informatiques et les autres partenaires (dépositaires, valorisateurs, teneurs de comptes-conservateur, commissaires aux comptes, apporteurs d’affaires, distributeurs), ainsi que le contrôle de premier niveau de ceux-ci ; 
  • Le dispositif de contrôle interne relatif à la cybersécurité de la SGP et à la sélection et au suivi de prestataires informatiques. 

Ils n’ont pas inclus la réalisation de tests techniques sur le système d’information des SGP contrôlées.

L’inclusion dans le périmètre des travaux des autres partenaires est liée à l’existence de canaux informatiques d’échanges de données sensibles les reliant aux SGP, canaux qu’il convient de prendre en compte lors de la structuration du dispositif de défense.
En outre, cette édition s’inscrit pleinement dans la réglementation européenne DORA (Digital Operational Resilience Act), entrée en vigueur le 16 janvier 2023 et applicable à compter du 17 janvier. Ce dispositif fixe en effet un socle d’exigences minimales communes concernant la mise en place de cadres complets de gouvernance et de contrôle interne pour les risques liés aux technologies de l’information et de la communication (TIC), la mise en œuvre d’un processus spécifique de gestion des incidents liés aux TIC et la mise en place d’un programme de tests de résilience opérationnelle. Elles définissent également les principes clés de gestion du risque lié aux prestataires informatiques et instaure des droits et des obligations dans le cadre de l’établissement d’accords contractuels entre les entités financières et tout prestataire de services informatiques.

Mauvaise pratique

L’AMF constate la permanence de 2 mauvaises pratiques pourtant déjà identifiées lors des deux campagnes de contrôles SPOT cybersécurité précédentes concernant le processus de sélection et de contractualisation avec les prestataires informatiques et les autres partenaires, ainsi que le contrôle de premier niveau de ceux-ci. 

Il s’agit de la prise en compte insuffisante des vulnérabilités potentielles des canaux d’échanges de données informatiques avec les autres partenaires dans la cartographie des SI, et de la limitation de la surveillance automatisée du SI aux seules heures ouvrées.
Sur ce même processus, l’AMF constate également que la prise en compte des critères relatifs à la cybersécurité dans la sélection formelle des prestataires informatiques et des autres partenaires, pourtant identifiée comme une bonne pratique lors de la campagne SPOT 2020, n’est pas l’approche majoritaire des 5 SGP du panel 2023.
De plus, l’existence de plusieurs vulnérabilités standards au sein du dispositif des SGP du panel (nécessitant des remédiations simples et peu coûteuses) est préoccupante.

Et concrètement ?

Les SGP doivent intégrer dans leurs cartographie des risques informatiques 
1/ les vulnérabilités potentielles des canaux d’échanges de données informatiques avec les autres partenaires.
2/ les plages horaires limitées de surveillance automatisée du SI.

Chaque semaine, CiD Consulting vous éclaire sur la règlementaire financière. 
Envie de recevoir notre flash info directement dans votre boîte mail ?

S'abonner

Entreprises d'InvestissementSociétés de Gestion

Related Articles


Sociétés de gestion
Ouverture de la plateforme « ROSA PRODUITS »
31 janvier 2024
CIF  ·  Entreprises d'Investissement  ·  Sociétés de gestion
Episode 7 & fin – Renforcer la surveillance transfrontière des services d’investissement
28 août 2023
CIF  ·  Entreprises d'Investissement  ·  Sociétés de gestion
Orientations ESMA relatives aux exigences d’adéquation de la directive MIF II
20 décembre 2023