Conformément à ses priorités de supervision pour 2019, l’AMF a mené durant l’année, dans le cadre de ses contrôles thématiques SPOT (Supervision des Pratiques Opérationnelles et Thématiques), des contrôles ciblés sur un échantillon de sociétés de gestion de portefeuille sur le thème de la cybersécurité - définie comme la protection contre toute atteinte malveillante potentielle, interne ou externe, à l’une des caractéristiques clés du système d’information.

Le choix de ce sujet était issu de la conjonction de nombreux facteurs de risques, parmi lesquels la dépendance croissante de l’industrie de la gestion aux outils dématérialisés et à des prestataires informatiques externes (pour les services « cloud » notamment). Les contrôles visaient à s’assurer de la prise en compte adéquate par les SGP des risques cyber, et de l’efficacité des contrôles mise en œuvre en leur sein pour faire face à ces risques.

En complément de lettres de suite spécifiques auxquelles ont donné lieu ces contrôles, l’AMF a publié en décembre 2019 une synthèse générale pour apporter un éclairage sur les pratiques des SGP sur le dispositif de contrôle cyber de leurs données sensibles, de leurs processus clés, et plus généralement de leur système d’information. Sans introduire d’élément de doctrine, cette synthèse mise à disposition des acteurs de l’asset management fournit un rappel du cadre réglementaire, et met en lumière diverses bonnes et moins bonnes pratiques opérationnelles et d’organisation.

S’il apparaît que les dispositifs mis en place par les SGP pour la gestion du risque cyber - en l’intégrant à leur cartographie, en collectant les incidents et en faisant appel à des prestataires spécialisés pour vérifier la robustesse de leur SI - assurent une couverture globalement adéquate des principaux risques, ces dispositifs ne sont pour autant assurément pas parfaits : prise en compte insuffisante des impacts potentiels sur la conformité réglementaire, inclusion non systématique de cartographies exhaustives des données sensibles et systèmes critiques, distinction imprécise dans les bases de collecte entre incidents avérés et attaques externes bloquées ou incidents internes basiques, ou encore dépendance trop large aux prestations de la maison-mère.

Ce sont ces enseignements généraux que viennent présenter les équipes de l’AMF, dans une optique de partage de bonnes pratiques, complété par le témoignage d’une des sociétés de gestion contrôlées. Cet échange sera utile à toutes les SGP soucieuses d’une bonne maîtrise du risque cyber, quelle que soit leur taille, autonomie ou champ d’activité.

Public visé

• Sociétés de gestion : Direction générale, des Risques, de la Conformité / RCCI, des Opérations, des Systèmes d’information, du Middle/Back Office, Juridique 
• Prestataires techniques, Conseils, Avocats

• Expliciter la notion de cybersécurité dans de contexte de l’asset management
• Rappeler les exigences réglementaires
• Partager les bonnes pratiques et attentes de l’AMF