L’AMF demande aux sociétés de gestion d’actifs d’améliorer leur cybersécurité
![Image Europol, la CISA et le FBI alertent sur le gang de [rançongiciel Akira]](https://incyber.org//wp-content/uploads/2023/12/incyber-news-water-cybersecurite-cybersecurity-885x690.jpg)
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
Ces entreprises financières devraient opter pour une approche plus proactive, afin de respecter le règlement européen sur la résilience opérationnelle numérique (DORA).
L’Autorité des marchés financiers (AMF) a publié, le 21 décembre 2023, son troisième rapport sur la cybersécurité opérationnelle des sociétés de gestion d’actifs. Après deux enquêtes publiées en 2019 et 2021, ce nouveau document analyse « les dispositifs de supervision des risques d’origine cyber de cinq établissements, dans le cadre des relations entretenues avec leurs principaux prestataires informatiques et partenaires ».
L’autorité se félicite certes que « la majorité des sociétés de gestion contrôlées ont formalisé une cartographie exhaustive de leurs prestataires informatiques sensibles, incluant une évaluation du niveau de risque pour chacun d’entre eux ». Elle déplore aussi que ces efforts n’aient pas été étendus aux autres partenaires, réduisant ainsi fortement le niveau de protection de leurs données sensibles.
L’AMF critique par ailleurs « une prise en compte insuffisante, lors de la phase de sélection et de contractualisation des prestataires informatiques et des autres partenaires, des critères relatifs à la robustesse des dispositifs de cybersécurité, de gestion des incidents et de continuité d’activité associés aux services rendus ». L’autorité conclut sur la « persistance des anomalies standards », pour une cybersécurité privilégiant une approche réactive.
En cela, ces sociétés ne respectent pas la doctrine du règlement européen sur la résilience opérationnelle numérique (DORA), qui entrera en vigueur en janvier 2025. Cette doctrine recommande en effet un équilibre constant, en matière de cybersécurité, entre les mesures réactives et proactives.
L’AMF envisage d’ailleurs des sanctions si les sociétés de gestion ne corrigent pas le tir. « Cette troisième série de contrôles marque la fin de la phase de pédagogie amorcée par l’AMF dès 2019 sur les risques d’origine cyber. Si elles devaient perdurer à l’avenir, les fragilités exposées dans cette synthèse et dans les deux précédentes pourraient justifier le déclenchement d’une action répressive », affirme ainsi l’autorité.
https://www.amf-france.org/fr/actualites-publications/communiques/communiques-de-lamf/lamf-publie-la-synthese-dune-troisieme-campagne-de-controles-thematiques-sur-les-dispositifs-de