L’AMF joue un rôle important dans la sécurisation du paysage financier français face aux cybermenaces. De l’instauration du règlement européen DORA aux contrôles SPOT, cette entité veille à la conformité des acteurs financiers en matière de cybersécurité. L’objectif ? Protéger les épargnants et garantir l’intégrité du système financier. Ainsi, les sociétés soumises à son contrôle sont appelées à renforcer leurs dispositifs de sécurité informatique.
AMF et le règlement européen DORA
L’Autorité des marchés financiers (AMF) a une implication majeure dans la mise en œuvre du règlement européen DORA (Digital Operational Resilience Act), une législation destinée à renforcer la résilience opérationnelle numérique du secteur financier. Prévue pour entrer en vigueur le 17 janvier 2025, cette réglementation établit des normes strictes en matière de cybersécurité et de gestion des risques informatiques.
Dans cet objectif, l’AMF se charge d’examiner les dispositifs de supervision des risques d’origine cyber des entités financières. Elle veille également à ce que ces entités mettent en place les cinq piliers essentiels de la résilience opérationnelle numérique identifiés par DORA.
L’AMF encourage fortement les acteurs financiers à se préparer à l’application de ce règlement, soulignant l’importance de la cybersécurité dans le contexte financier actuel, de plus en plus numérisé.
Contrôles SPOT : qu’est-ce que c’est ?
Les contrôles SPOT (Supervision des Pratiques Opérationnelles et Thématiques) sont des contrôles courts et thématiques mis en place par l’AMF. Ils permettent l’identification et la prévention des risques de non-conformités dans les domaines d’activité qu’elle supervise.
Ces contrôles se focalisent sur des thématiques précises, parmi lesquelles la cybersécurité occupe une place prépondérante. Ils comprennent notamment l’examen des dispositifs de cybersécurité mis en place par les sociétés de gestion de portefeuille.
L’objectif de ces contrôles SPOT est double : d’une part, ils permettent de veiller à la conformité des pratiques en matière de cybersécurité. D’autre part, ils offrent l’opportunité de partager les bonnes pratiques du secteur et de mettre en avant les éléments de vigilance.
Comment l’AMF protège les épargnants ?
L’AMF protège les épargnants par le biais de plusieurs mécanismes.
Elle réalise des études sur le comportement des épargnants et sur les pratiques de commercialisation des produits d’épargne. Ces études permettent d’identifier les éventuels risques et d’ajuster les mesures de protection.
Elle met également en place un dispositif de médiation. En cas de litige entre un épargnant et un acteur financier, le médiateur de l’AMF peut intervenir pour tenter de résoudre le conflit à l’amiable.
L’AMF assure aussi une mission d’information en mettant à disposition des mises en garde sur son site internet. Elle publie notamment des listes d’acteurs non autorisés et des listes blanches, afin d’aider les épargnants à éviter les arnaques.
Enfin, l’AMF peut prendre des mesures réactives, comme l’élaboration de règles spécifiques en matière de cybersécurité, pour protéger les épargnants face à des risques émergents.
Acteurs concernés par le contrôle de l’AMF en cybersécurité
Le contrôle de l’AMF en matière de cybersécurité implique différents acteurs du secteur financier. Parmi eux, les sociétés de gestion sont particulièrement concernées. Ces entités font l’objet d’une attention particulière lors des contrôles SPOT, visant à analyser leurs dispositifs de cybersécurité.
Les prestataires de services sur actifs numériques sont également concernés, devant respecter les exigences de cybersécurité pour assurer la résilience de leurs systèmes d’information.
En outre, les prestataires informatiques sensibles et les partenaires sont également dans le viseur de l’AMF, notamment lors du processus de sélection et de contractualisation. L’objectif est d’assurer le bon fonctionnement et la sécurité du système d’information.
La coopération entre l’ANSSI et l’AMF
La collaboration entre l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et l’Autorité des marchés financiers (AMF) est un exemple concret de coopération institutionnelle pour renforcer la cybersécurité du secteur financier. Cette coopération est motivée par la prise de conscience croissante de la menace cybernétique pesant sur les acteurs financiers.
La coopération entre ces deux entités se matérialise par des actions conjointes, comme la réalisation de tests d’intrusion, effectués par un prestataire externe qualifié par l’ANSSI. Ces tests sont un outil précieux pour évaluer la robustesse des systèmes d’information des entités financières contrôlées par l’AMF.
Le but ultime de cette coopération est de créer une synergie efficace entre ces deux institutions, dans le but d’améliorer la cybersécurité des acteurs opérant sur les marchés financiers. Ces derniers sont considérés comme “d’importance vitale” pour la stabilité financière et économique du pays.
Cybersécurité : les attentes de l’AMF
L’AMF montre une préoccupation croissante pour la sécurité des informations numériques des acteurs financiers. Son attente se concentre sur l’organisation et la gouvernance du dispositif de cybersécurité des entités qu’elle supervise. Cela inclut l’importance du pilotage des prestataires informatiques sensibles, ainsi que la gestion des incidents d’origine cyber.
L’AMF préconise une approche proactive face aux cybermenaces. Cela se reflète dans ses contrôles SPOT, qui ont récemment mis l’accent sur la cybersécurité. À travers ces contrôles, l’AMF envisage d’élaborer une doctrine spécifique à la cybersécurité, proportionnée en fonction de la taille des acteurs.
L’AMF met aussi l’accent sur la confiance numérique. Cela comprend la politique interne de cybersécurité, les contrats avec les prestataires informatiques et les partenaires, et les contrôles sur ces derniers. La confiance numérique devient un enjeu majeur pour les sociétés de gestion qui pourraient être sanctionnées par l’AMF en cas de manque de préparation.
Cybersécurité : recommandations et bonnes pratiques de l’AMF
L’AMF, en sa qualité de régulateur, propose un ensemble de recommandations et de bonnes pratiques pour aider les acteurs financiers à renforcer leur cybersécurité. Ces suggestions couvrent de multiples aspects, allant de la gouvernance des dispositifs de cybersécurité à la gestion des incidents cyber.
L’une des principales recommandations de l’AMF est la nécessité d’une organisation solide et d’une gouvernance efficace du dispositif de cybersécurité. Il est primordial d’adopter une approche proactive en matière de cybersécurité, en anticipant les risques potentiels et en préparant des plans d’action en cas d’incident.
Concernant la gestion des prestataires informatiques sensibles, l’AMF insiste sur l’importance d’un pilotage rigoureux. Il est essentiel de s’assurer que ces prestataires respectent les normes de sécurité établies et disposent des compétences nécessaires pour répondre aux défis de la cybersécurité.
Qui est soumis au contrôle de l’AMF en matière de cybersécurité ?
Le contrôle de l’AMF en matière de cybersécurité s’applique à un large éventail d’acteurs du secteur financier. Outre les sociétés de gestion de portefeuille et les prestataires de services sur actifs numériques déjà mentionnés, d’autres entités sont également concernées.
- Les établissements financiers font partie des entités soumis à ce contrôle. L’AMF veille à ce qu’ils intègrent le risque cyber dans leur cartographie des risques et qu’ils disposent de systèmes d’information robustes.
- Les prestataires informatiques sensibles sont également sous le regard de l’AMF. Leur sélection, contractualisation et contrôle doivent prendre en compte leur robustesse en matière de cybersécurité.
- Les communes et intercommunalités sont aussi concernées par les contrôles de l’AMF en matière de cybersécurité, notamment en raison de l’importance croissante du numérique dans leur fonctionnement.
- Enfin, les professionnels du secteur financier appartenant à un groupe sont également soumis au contrôle de l’AMF, qui s’assure de la qualité de la cybersécurité et de la continuité d’activité assurées par la maison-mère.
La position de l’AMF face aux risques informatiques
Face aux risques informatiques, l’AMF adopte une position proactive et vigilante. Elle met en place des contrôles réguliers, notamment à travers des campagnes de contrôles thématiques courts (SPOT) pour évaluer la résilience des systèmes d’information des acteurs du marché financier. L’AMF insiste sur l’importance de la mise en conformité avec les obligations de DORA (Digital Operational Resilience Act) pour harmoniser les exigences de sécurité informatique à l’échelle européenne. Elle souligne également la nécessité d’une coopération étroite avec l’ANSSI pour garantir une cybersécurité efficace. En cas de manquements constatés, l’AMF n’hésite pas à sanctionner les entités financières concernées.
L’agrément AMF et la cybersécurité : un lien important
L’agrément AMF est une autorisation délivrée par l’Autorité des Marchés Financiers (AMF) aux acteurs financiers opérant en France. L’obtention de cet agrément est un processus rigoureux qui implique une évaluation approfondie des systèmes de l’entité candidate, y compris ses mesures de cybersécurité.
Un lien fort existe entre l’obtention de l’agrément AMF et la cybersécurité. Selon le régime réglementaire en vigueur, les Prestataires de Services sur Actifs Numériques (PSAN) désireux d’obtenir l’agrément doivent démontrer leur conformité aux exigences de l’AMF en matière de cybersécurité. Cela inclut la mise en œuvre de systèmes d’information sécurisés, la préparation aux incidents de cybersécurité et une gestion efficace des risques informatiques.
Le rôle de la France et de l’Europe dans la régulation de la cybersécurité
La France et l’Europe jouent un rôle de premier plan dans la régulation de la cybersécurité. En France, l’AMF et la CNIL sont les principales autorités de régulation. Elles veillent à ce que les acteurs financiers et les entreprises respectent les normes de cybersécurité et protègent les données des utilisateurs. De plus, l’Europe impose une régulation plus large grâce à des législations telles que le règlement DORA et la directive SRI2, visant à renforcer la cybersécurité au sein de l’Union Européenne. Ces lois permettent d’assurer un niveau élevé de cybersécurité, protégeant ainsi les citoyens et les entreprises européennes.