Le régulateur néerlandais se penche sur le signalement d’incidents par les SGP

Signaler un incident tel qu’une cyberattaque ou une défaillance dans un système informatique demeure une démarche délicate pour les sociétés de gestion. Les conséquences, entres autres sur le plan réputationnel des firmes concernées, peuvent s’avérer désastreuses. Aux Pays-Bas, cette notion d’incident est définie dans l’article 1 du décret national sur la supervision des entreprises financières (BGfo) comme «un acte ou un événement constituant une menace sérieuse pour l’intégrité de l’activité d’une entreprise financière». Et pour le régulateur néerlandais des marchés financiers AFM, les sociétés de gestion locales ne rendent pas suffisamment compte de ces incidents. Pourtant, fin décembre 2020, l’AFM leur avait envoyé une lettre pour les rappeler à leur obligation de lui signaler, sans délai, d’éventuels incidents. Dix mois plus tard, après avoir discuté avec les entreprises concernées, l’AFM a indiqué, jeudi 30 septembre, que cette lettre a incité plusieurs gestionnaires à revoir et renforcer leurs procédures internes en matière d’incidents mais aussi à discuter avec leurs prestataires de services à qui ils externalisent une partie de leurs activités. Mais le régulateur reste sur sa faim, le nombre de rapports d’incidents n’a pas beaucoup plus augmenté. Culture ouverte Selon l’AFM, les responsables de plusieurs sociétés de gestion «reconnaissent» que les incidents nécessitent encore davantage d’attention depuis l’apparition du Covid-19 car leur nature a changé. Ils précisent par exemple que le travail à domicile a entraîné une augmentation des menaces pour la sécurité des informations et que cela a conduit à des incidents dans un certain nombre de cas. D’où la sensibilisation croissante des salariés des sociétés de gestion via des formations en ligne sur le sujet. Le service de conformité et les directeurs des sociétés de gestion sont en première ligne pour l’identification et le signalement des incidents. Cependant, l’AFM note que les gestionnaires s’efforcent de créer «une culture ouverte» dans laquelle leurs salariés ne doivent pas se sentir gênés pour signaler un incident. Le régulateur néerlandais considère qu’une culture ouverte est «une condition préalable importante pour une interprétation efficace des responsabilités des entreprises en matière d’incidents». Aussi l’utilisation de matrices pour classifier les incidents est encouragée par l’AFM Les discussions entre le régulateur néerlandais et les gestionnaires locaux suggèrent par ailleurs que certains restent réticents à l’obligation de lui signaler des incidents car ils craignent une importante amende ou sanction du régulateur. Menaces externes peu prises en compte L’AFM note également dans son rapport que des incidents chez les prestataires de services des sociétés de gestion «se produisent régulièrement». Si le superviseur n’a pas enquêté sur des incidents particuliers, il souligne que les incidents subis par les prestataires de services sont eux aussi soumis à l’obligation de signalement. L’AFM constate que les sociétés de gestion prêtent globalement une grande attention au contrôle interne, aux risques de réputation ainsi qu’à la fraude et aux fuites de données. A contrario, peu d’entre elles prennent en considération les menaces provenant d’acteurs externes. Les sociétés de gestion interrogées par l’AFM se jugent peu intéressantes de par leur petite taille ou vis-à-vis des banques et assurances pour les cybercriminels. Un discours souvent entendu dans l’industrie de la gestion d’actifs, lorsqu’on pose la question d’éventuelles cyberattaques, consiste à dire que l’argent géré par les gestionnaires n’est pas le leur et se trouve de toute façon conservé chez des dépositaires. Le régulateur néerlandais reste néanmoins préoccupé par le fait que des pirates informatiques pourraient toujours cibler des actifs, des données personnelles ou relatives à la propriété intellectuelle de clients des sociétés de gestion. L’AFM appelle donc les gestionnaires d’actifs à considérer les menaces externes dans leur processus d’analyse des risques. En outre, le superviseura annoncé qu’une enquête approfondie sera menée à court terme auprès d’un certain nombre de gestionnaires d’actifs néerlandais.