PARIS: L'Autorité des marchés financiers (AMF) constate une "prise en compte insuffisante" du risque cyber chez les sociétés de gestion, dans une synthèse publiée jeudi à l'issue d'une troisième campagne de contrôles réalisée dans des établissements du secteur depuis 2019.
"Si elles devaient perdurer à l’avenir, les fragilités exposées dans cette synthèse et dans les deux précédentes pourraient justifier le déclenchement d'une action répressive", a averti l'Autorité.
Pour cette campagne, l'AMF a analysé les pratiques de cinq sociétés de gestion de taille moyenne pour "faire face au risque cyber". Un risque qu'elle définit comme "découlant d'une atteinte malveillante potentielle à la disponibilité, l'intégrité, la confidentialité des données ou à la traçabilité des actions au sein des systèmes d'information" des établissements.
Dans sa synthèse, l'Autorité a notamment relevé que les sociétés contrôlées n'avaient "pas mis en place tous les outils de supervision nécessaires" pour s'assurer de l'usage systématique de canaux d'échanges informatiques "appropriés" par leurs collaborateurs, et qu'elles déployaient des "contrôles a posteriori" ciblant l’efficacité de leurs dispositifs de cybersécurité.
Cette "approche davantage réactive que proactive" ne correspond pas à celle "défendue par la règlementation européenne DORA ( Digital Operational Resilience Act), qui s’appliquera à partir du le 17 janvier 2025, et qui inclut notamment des principes clés de gestion des risques liés aux prestataires informatiques", a indiqué l'AMF dans un communiqué.