Les sociétés de gestion présentent des lacunes sur la cybersécurité

Les gérants sont conscients des risques cyber mais en minimisent certains impacts, révèlent des contrôles menés par l'AMF auprès de six acteurs du secteur.

Par Franck Joselin, L'Agefi Quotidien

La situation n’est pas critique. Mais les contrôles effectués par l’AMF auprès de six sociétés de gestion (SGP) montrent que si l’ensemble des entités contrôlées sont bien conscientes des cyberrisques auxquels elles peuvent être confrontées, elles en minimisent certains. Ainsi, la mission de contrôle de l’AMF a relevé que les SGP ne prenaient pas en compte les risques de cybersécurité concernant leur conformité réglementaire, comme le niveau de leurs fonds propres, la conservation de leurs données, ou leur plan de continuité d’activité et de moyens.

Par ailleurs, autre lacune importante, l’AMF a constaté, chez les gestionnaires contrôlés, l’absence de ce qu’elle considère comme étant les «premières briques pourtant essentielles d’une approche cyber pérenne», à savoir la cartographie exhaustive des données sensibles et des systèmes critiques.

UNE COUVERTURE TECHNIQUE RAISONNABLE

L’AMF a aussi souligné que les sociétés confondaient souvent les incidents de cybersécurité avérés, c’est-à-dire présentant un impact sur leur système informatique, avec les attaques externes bloquées avec succès ou les incidents internes non intentionnels.

Enfin, l’Autorité constate que les sociétés appartenant à un groupe (4 sur les 6 contrôlées), se reposent sur les services de leur maison mère bancaire, sans prise en compte de leur spécificité de société de gestion. «Cette porosité SGP/Groupe génère des situations risquées du point de vue technique (par exemple : l’imbrication du réseau informatique de la SGP dans celui du groupe, exposant directement la première en cas d’attaque du second) et organisationnel (par exemple : le manque de visibilité de la SGP sur le caractère exhaustif et efficace des services rendus par le groupe tels que la sauvegarde des données et les tests d’intrusion)», indique l'étude de l'AMF.

Ces contrôles ne concernent qu’un nombre très réduit de sociétés, mais ils mettent au jour certaines pratiques, bonnes ou mauvaises, de la profession. L’AMF tente de rassurer les investisseurs, en précisant que les dispositifs mis en place par les sociétés de gestion de portefeuille contrôlées «assurent une couverture technique raisonnable des principaux risques cyber». Il n’empêche, les gestionnaires sont loin d’avoir intégré toutes les bonnes pratiques concernant ce sujet, pourtant sensible.