Le 21 décembre 2023, l’AMF publiait la synthèse de sa troisième campagne de contrôles thématiques  sur les dispositifs de cybersécurité des sociétés de gestion. Depuis 2019, l’autorité a en effet souhaité examiner la capacité des gestionnaires à anticiper et résoudre tout type d’atteinte malveillante potentielle à la disponibilité, l’intégrité, la confidentialité des données ou à la traçabilité des actions au sein de leurs systèmes d’information, susceptible d’avoir un impact sur leurs fonds d’investissement ou mandats qu’ils gèrent mais également sur leurs obligations réglementaires et sur leurs clients.      

Deux niveaux de vigilances sont attendus. D’une part, celui concernant la protection des données sensibles confiées à des prestataires informatiques clés incluant les fournisseurs de services informatiques en nuage (« cloud »). D’autre part, celui concernant tout type d’interaction, via des canaux informatiques et portant sur des données sensibles, que les sociétés de gestion peuvent avoir avec d’autres types de partenaires essentiels à leurs activités ; l’AMF évoquant, à ce titre, les dépositaires, les valorisateurs, les teneurs de comptes-conservateurs, les commissaires-aux-comptes, les apporteurs d’affaires ou encore les distributeurs.

Ce dernier contrôle intervenu sur cinq sociétés de gestion a permis notamment de mettre en exergue un certain nombre de lacunes relatives aux dispositifs de cybersécurité qu’elles auraient dû mettre en place avec les autres partenaires que les prestataires informatiques. Il apparaît, par exemple, que des outils de supervision concernant l’usage par les collaborateurs de canaux informatiques d’échanges de données sensibles avec ces partenaires devraient d’ores et déjà être utilisés.

Par ailleurs, l’AMF indique, dans sa synthèse, le caractère primordial, dans la phase de sélection (de contractualisation et de contrôle) des prestataires informatiques et autres partenaires, des critères de robustesse des dispositifs de cybersécurité, de gestion des incidents et de continuité des activités.

L’issue de ce contrôle thématique marque, selon l’AMF, l’amorçage d’une nouvelle ère pour les gestionnaires qui devront désormais, afin de se conformer notamment au règlement européen DORA^[1] qui s’appliquera à partir du 17 janvier 2025, adopter une approche davantage proactive, et non se satisfaire d’une démarche uniquement réactive. A ce titre, il est attendu des sociétés de gestion qu’elles respectent des principes clés de gestion des risques et mettent en place un dispositif solide (moyens humains et financiers, outils techniques, cartographies précises des risques, procédures internes, contrôles permanents et périodiques, plan de continuité des activités...) et équilibré, à la fois pour analyser et résoudre  des incidents, mais également afin de les prévenir et de les anticiper, le plus possible.

La confiance numérique, matérialisée notamment à travers la politique interne de cybersécurité,  les contrats signés avec les prestataires informatiques et autres partenaires et les contrôles opérés sur ces derniers, devient ainsi un enjeu majeur pour les sociétés de gestion qui, par manque de préparation, pourraient, selon l’AMF, faire l’objet à l’avenir d’une action répressive.