Cybersécurité : les sociétés de gestion doivent être plus proactives / Une urgente mise en conformité avant l’application du règlement européen DORA

Le risque cyber a décidément du mal à devenir un automatisme. Après deux campagnes SPOT (supervision des pratiques opérationnelle et thématique) réalisées en 2019 et 2020 par l’Autorité des marchés financiers (AMF) sur cette thématique, des mauvaises pratiques pourtant considérées comme des mesures standards persistent au sein des sociétés de gestion de portefeuille (SGP). Le maintien de ports USB non bloqués sur les postes de travail, l’absence d’une politique de gestion stricte des mots de passe ou l’usage de systèmes de messagerie non chiffrés et accessibles sans double authentification sont encore trop monnaie courante. "La formalisation d’un inventaire complet et nominatif des matériels informatiques utilisés peine également à se généraliser", constate l’AMF.

Et malheureusement, ce n’est pas tout. Lors de sa troisième et dernière campagne, analysant cette fois-ci les processus de sélection, de contractualisation et de contrôle des prestataires informatiques externes (éditeurs de logiciels, administrateurs et hébergeurs informatiques) de cinq SGP moyennes (gérant entre 0,5 et 2 milliards d’euros), incluant également une revue des cadres de sécurité mis en œuvre sur les canaux de communication existants entre elles et leurs principaux autres partenaires (dépositaires, teneurs de comptes, commissaires aux comptes des fonds, etc), d’autres écueils sont à déplorer.

D’abord, lors des phases de sélection et de contractualisation des prestataires et des autres partenaires, la prise en compte des critères relatifs à la robustesse des dispositifs de cybersécurité, de gestion des incidents et de continuité d’activité a été jugée insuffisante par l’AMF, les SGP privilégiant des contrôles d’efficacité… a posteriori.

Ensuite, si la majorité des SGP ont formalisé une cartographie de leurs prestataires informatiques, incluant une évaluation du niveau de risque pour chacun d’entre eux, cet exercice n’a pas été réalisé à l’identique pour leurs autres partenaires, si bien que certaines SGP n’ont pas mis en place tous les outils de supervision nécessaires pour s’assurer de l’usage systématique des canaux informatiques d’échanges appropriés en fonction du niveau de sensibilité des données échangées.

De mauvaises habitudes qui en disent long sur le comportement des SGP : leur approche serait davantage réactive que proactive concernant les risques d’origine cyber liés aux prestations externalisées, selon le régulateur. Or, cette attitude "ne correspond pas à l’approche défendue par la réglementation européenne DORA (Digital Operational Resilience Act) qui s’appliquera à compter du 17 janvier 2025 et qui inclut notamment les principales clés de gestion des risques liés aux prestataires informatiques", prévient l’AMF.

Pour mémoire, le règlement DORA, entré en vigueur le 16 janvier 2023, fixe en effet un socle d’exigences minimales communes concernant la mise en place de cadres complets de gouvernance et de contrôle interne spécifiquement conçu pour garantir la résilience opérationnelle en matière informatique au sein du secteur financier. Il propose en outre un équilibre entre les mesures réactives (mécanismes d’examen des incidents, stratégie de continuité des activités) et proactives (classification préalable des sources de risques d’origine cyber, élaboration d’une politique de sécurité de l’information). Des obligations en interne dont l’Autorité européenne des marchés financiers, l’ESMA, a fait elle aussi, le 9 novembre dernier, l’une de ses priorités stratégiques de surveillance de l’Union européenne.

Et à l’AMF de prévenir : "bien que (nous n’avons) pas, à ce stade, engagé de procédures répressives pour dispositif cyber défaillant auprès des SGP, de telles carences, si elles devaient perdurer, pourraient être de nature à justifier à l’avenir une telle procédure".