Conformément à ses priorités de supervision, l’AMF a mené durant l’année 2019, dans le cadre de ses contrôles thématiques SPOT (Supervision des Pratiques Opérationnelles et Thématiques), des missions de contrôles ciblés sur un échantillon de sociétés de gestion de portefeuille sur le thème de la cybersécurité - définie comme l’ensemble des mesures de protection en place contre toute atteinte malveillante potentielle, interne ou externe, à l’une des quatre caractéristiques clés du système d’informations (disponibilité, intégrité, confidentialité, intégrité).

Le choix de ce thème est issu de la conjonction de nombreux facteurs de risques, parmi lesquels la dépendance croissante de l’industrie de la gestion aux outils dématérialisés et à des prestataires informatiques externes (éditeurs ou hébergeurs notamment). Les missions visaient à s’assurer de la prise en compte adéquate par les SGP des risques cyber majeurs, et de l’efficacité des dispositifs de contrôles mis en œuvre en leur sein pour faire face à ces risques.

En complément de lettres de suite spécifiques auxquelles ces contrôles ont donné lieu, l’AMF a publié en décembre 2019 une synthèse générale pour apporter un éclairage sur les pratiques des SGP en termes d’organisation, de gouvernance et de contrôle de leur dispositif de cyber sécurité, ce qui inclut notamment la gestion de leurs données sensibles, des incidents cyber et de la continuité des opérations informatiques. Sans introduire d’élément de doctrine, cette synthèse, mise à disposition des acteurs de l’asset management, fournit un rappel du cadre réglementaire, et met en lumière diverses bonnes et moins bonnes pratiques opérationnelles et d’organisation.

S’il apparaît que les SGP ont pris la mesure  du risque cyber dans leur activité (intégration dans la cartographie des risques, collecte des incidents et appel à des prestataires spécialisés pour vérifier la robustesse des SI), les dispositifs contrôlés ne sont pas, à ce stade, de nature à permettre une gestion pérenne des risques cyber. En effet, ils demeurent fréquemment bâtis sans lien avec une analyse (i) préalable des données sensibles / systèmes critiques et (ii) continue des incidents cyber. L’impact de ces incidents en termes de non-conformité règlementaire reste également insuffisamment maîtrisé.

Ce sont ces enseignements généraux que viennent présenter les équipes de l’AMF, dans une optique de partage de bonnes pratiques. En complément, une société de gestion viendra témoigner de sa propre expérience de la gestion des risques cyber. Cet échange sera utile à toutes les SGP soucieuses d’une bonne maîtrise du risque cyber, quelle que soit leur taille, autonomie ou champ d’activité.

Public visé

• Sociétés de gestion : Direction générale, des Risques, de la Conformité / RCCI, des Opérations, des Systèmes d’information, du Middle/Back Office, Juridique 
• Prestataires techniques, Conseils, Avocats

• Expliciter la notion de cybersécurité dans de contexte de l’asset management
• Rappeler les exigences réglementaires
• Partager les bonnes pratiques et attentes de l’AMF

• Compréhension des risques cyber dans la gestion
• Connaissance des obligations réglementaires
• Maîtrise des bonnes pratiques opérationnelles

• Activité de gestion financière
• Pas de prérequis technique
• Connaissance des principaux types d’attaques cyber

• Livret d’accueil
• Supports de présentation  
• Echanges avec les intervenants