Cybersécurité : préoccupation majeure à l’ère du numérique / Duff & Phelps
Le développement des nouvelles technologies numériques a contribué à promouvoir la dématérialisation, la souplesse et la rapidité des processus. Il a permis d’améliorer la qualité des services, les relations client et la créativité dans les lieux de travail.
Cependant, cette connectivité augmente les risques de vulnérabilité. Les attaques informatiques se multiplient et les méthodes utilisées sont de plus en plus sophistiquées.
- Une menace en forte progression touchant tous les secteurs
Dans son rapport d'activité, La CNIL ressort une forte augmentation des attaques informatiques en 2020 et une progression de 24 % des notifications de violation de données personnelles. La majorité des notifications reçues concerne une violation de données ayant pour origine un acte externe malveillant (piratage, ransomware, vol d’un support physique ou les arnaques aux faux supports techniques).
Le télétravail imposé par la crise sanitaire a constitué également un nouveau vecteur de violation des données. De ce fait, la cybersécurité est aujourd’hui au cœur des préoccupations des sociétés dans tous les secteurs d’activité.
En effet, l’impact de cette menace a accru la prise de conscience des enjeux liés à la cybersécurité pour les acteurs des marchés financiers et notamment les régulateurs.
- Synthèse des contrôles SPOT de l’AMF sur la cybersécurité
L’AMF s’est concentrée sur le sujet depuis 2018 et a annoncé dans ses priorités de supervision 2019 la première série de contrôles SPOT portant sur les dispositifs de cybersécurité des sociétés de gestion. L’objectif principal de ces contrôles a été de s’assurer de la prise en compte adéquate des risques cyber et de l’efficacité des contrôles mis en œuvre pour adresser ces risques.
Lors de ce contrôle, L’AMF a relevé une insuffisance des dispositifs en place, notamment en matière de prise en compte des impacts potentiels des risques cyber sur le respect des niveaux de fonds propres réglementaires, sur la conservation des données et sur le plan de continuité d’activité. De plus, l’AMF a relevé l’absence fréquente de cartographie des risques cyber exhaustive.
En raison de la multitude des zones de risque identifiées, l’AMF a souhaité reconduire le thème de la cybersécurité pour ses contrôles 2020. Lors de cette deuxième série de contrôles SPOT publiée en avril 2021, l’AMF a constaté une amélioration de l’organisation et la gouvernance des dispositifs cybersécurité des SGP.
Cependant, plusieurs insuffisances demeurent et de nouvelles menaces ont été identifiées à la suite de la mise en place du télétravail dans les SGP.
L’AMF souligne tout d’abord la nécessité d’une réflexion sur les zones de risque principales à protéger au préalable de la mise en place des dispositifs de gouvernance et de contrôle des risques cyber. Cet exercice donnerait lieu à la mise en place d’une cartographie des données sensibles et des systèmes critiques.
Dans le cadre de la prévention contre les cyberattaques, l’AMF note l’importance de sécuriser les installations informatiques utilisées, d’encadrer les processus d’accès à distance au système d’information ainsi que la mise en place de compagne de sensibilisation des collaborateurs et la réalisation périodique de tests de phishing pour mesurer l’évolution de cette sensibilité.
Par ailleurs, dans le cadre de l’externalisation de certaines activités, l’AMF relève la bonne pratique d’inclure des clauses d’audit et des procédures d’alerte en cas d’incident dans les contrats d’externalisation et les procédures de sélection et évaluation des prestataires externes.
Concernant le process de gestion des incidents d’origine cyber, le contrôle SPOT souligne la nécessité de la mise en place d’un dispositif de collecte et d’analyse des incidents et d’assurer le suivi et la communication sur ces risques lors des comités et reporting périodiques.
Enfin, l’AMF rappelle l’importance de la formalisation d’un plan de sauvegarde de données et de continuité d’activité et la réalisation de tests de restauration réguliers des données sauvegardées. Notamment, de faire réaliser des tests d’intrusion par un prestataire externe spécialisé afin de mesurer la robustesse du dispositif de cybersécurité en place.
- Impacts pour les sociétés de gestion de portefeuille
De ces contrôles SPOT, ainsi que des différentes analyses de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), il ressort que le secteur financier et particulièrement la gestion d’actifs n’est pas suffisamment armée pour faire face aux attaques informatiques. D’autant plus qu’aujourd’hui les règles du jeu semblent avoir changé : les cybercriminels ont adapté leurs tactiques et utilisent différents types de fraude et d’extorsion. Ils se sont également organisés en groupes disposant de plusieurs compétences notamment des connaissances financières. Les pirates l’avaient démontré dans le cas de la Banque Centrale du Bengladesh qui avait nécessité une modification des processus Swift et plus récemment lors de l’attaque contre AXA Partners en Thaïlande.
L’enjeu pour le secteur financier est très important, selon le rapport 2020 sur les violations de la confidentialité des données d’IBM, le coût moyen d’une violation de données dans le secteur des services financiers s’élève à 5,85 millions de dollars US. En plus des pertes financières, les données récoltées à la suite d’une attaque réussie peuvent être utilisées pour l’usurpation de l’identité d’autrui ou être vendues sur les marchés du web noir. La perte de confiance des clients engendrée par une telle attaque et son impact sur la réputation des sociétés pourrait être fatal.
Si les sociétés de gestion ont bien pris conscience des enjeux, et que de nombreux audits ont été réalisés sur les aspects de cybersécurité, il reste néanmoins à articuler l’ensemble (procédure, mode opératoire, cartographie des risques, formations, contrôle opérationnels, permanents et périodiques) afin de réduire les risques et maintenir la confiance des clients.
Dans ce sens, Duff and Phelps - KROLL consacrera une partie de son webinar « New Normal – Points de vue croisés entre valorisation et conformité » du 22 juin 2021 pour traiter le sujet du rôle de la conformité en matière de cybersécurité. Soyez au rendez-vous !
Proposer une offre de job :
Consulter les offres qui vous correspondent :
