Décembre 2023

Synthèse des contrôles SPOT relative au dispositif de

cybersécurité des sociétés de gestion de portefeuille
N°3 - 2023

Document « INTERNE » - Ne pas diffuser en dehors de l’AMF 1/40

INTRODUCTION

Comme annoncé à l’occasion de ses priorités de supervision pour l’année 2023 1, l’Autorité des marchés
financiers (AMF) a diligenté une 3e campagne de contrôles SPOT (Supervision des Pratiques Opérationnelle et
Thématique) sur le dispositif de cybersécurité de 5 sociétés de gestion de portefeuille (SGP). Ces travaux
s’inscrivent dans la continuité de ceux menés en 2019 et 2020 et dans le cadre de l’entrée en vigueur, en
janvier 2023, du règlement DORA 2 (Digital Operational Resilience Act) sur la résilience opérationnelle
numérique du secteur financier, qui sera applicable aux entités financières françaises à compter de janvier
2025. A cet égard, des standards techniques seront publiés sur plusieurs sujets dont celui du recours aux
prestataires informatiques par les établissements soumis audit règlement. Cette campagne de contrôles SPOT
fait également écho à la cartographie des risques de l’AMF publiée le 6 juillet 2023 3 dont la synthèse rappelait
le niveau élevé du risque d’origine cyber pour les acteurs des marchés financiers.

La première campagne SPOT sur la thématique cyber avait ciblé principalement, en 2019, les moyens humains
et techniques ainsi que la gouvernance mise en œuvre par les SGP au regard des risques d’origine cyber. La
deuxième campagne avait approfondi, en 2020, l’analyse sur la gestion des incidents d’origine cyber. Prenant
acte de la nature majoritairement externalisée du système d’information (SI) des SGP du panel, elle avait
également été l’occasion de tester – via des audits techniques délégués à un prestataire en audit des systèmes
d’information (PASSI) qualifié par l’ANSSI 4 – la robustesse des dispositifs de sécurité mis en place sur 2 à 3
applications (majoritairement externes) par SGP du panel. Dans le prolongement de ces travaux, cette
troisième campagne de contrôles SPOT a ciblé le processus de sélection, de contractualisation avec les
prestataires informatiques sensibles (éditeurs de logiciels, administrateurs et hébergeurs informatiques
notamment) et le contrôle de premier niveau de ceux-ci. Elle a également inclus une revue des cadres de
sécurité mis en œuvre sur les canaux de communication existants entre les SGP du panel et leurs principaux
autres partenaires (dépositaires, valorisateurs, teneurs de comptes-conservateurs, commissaires aux comptes
des fonds et de la SGP, apporteurs d’affaires, distributeurs).

Le panel SPOT est constitué de sociétés de tailles hétérogènes, appartenant ou non à un groupe, dont les
activités de gestion sont traditionnelles passives ou de capital investissement. Les SGP du panel gèrent entre
0,5 et 2 Mds€.
Les travaux ont couvert :
• l’organisation et la gouvernance de la cybersécurité ;
• le corps procédural relatif au dispositif général de cybersécurité ;
• le processus (corps procédural et mise en œuvre) de sélection, de contractualisation avec les
prestataires informatiques et les autres partenaires, ainsi que le contrôle de premier niveau de ceux-
ci ;
• le dispositif de contrôle interne relatif à la cybersécurité de la SGP et à la sélection et au suivi de
prestataires informatiques.
Ils n’ont pas inclus la réalisation de tests techniques sur le système d’information des SGP contrôlées.

Ce document ne constitue ni une position, ni une recommandation. Les pratiques identifiées comme ‘bonnes’
ou ‘mauvaises’ soulignent des approches constatées lors des contrôles et analyses réalisés et susceptibles de
favoriser ou de contrecarrer le respect de la réglementation en matière de cybersécurité. Les rappels
réglementaires précisés dans les encadrés de la section 5 correspondent à des manquements identifiés au
cours des contrôles des SGP du panel.

1
https://www.amf-france.org/fr/actualites-publications/publications/rapports-annuels-et-documents-institutionnels/priorites-de-
supervision-2023-de-lautorite-des-marches-financiers
2 https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554
3 https://www.amf-france.org/fr/actualites-publications/publications/rapports-etudes-et-analyses/cartographie-2023-des-marches-et-
des-risques
4 Agence nationale de sécurité des systèmes d’information.

2/40
SOMMAIRE
1. CONTEXTE DES TRAVAUX MENÉS ..................................................................................................... 4
2. RÉSUMÉ DES PRINCIPAUX ENSEIGNEMENTS.................................................................................... 7
3. PÉRIMÈTRE ET ORGANISATION DES TRAVAUX .............................................................................. 12
4. RÈGLEMENTATION APPLICABLE ...................................................................................................... 12
5. PRINCIPAUX CONSTATS ................................................................................................................... 14
5.1. Organisation et gouvernance de la cybersécurité .................................................................. 14
5.1.1. Moyens humains et techniques ...................................................................................... 14
5.1.2. Gouvernance du dispositif de cybersécurité .................................................................. 17
5.2. Cartographie et corps procédural relatifs au dispositif général de cybersécurité ................ 19
5.2.1. Cartographie des données et des systèmes sensibles ................................................... 19
5.2.2. Corps procédural relatif au dispositif général de cybersécurité .................................... 20
5.3. Sélection, contractualisation et contrôle de premier niveau des prestataires informatiques
et des autres partenaires .................................................................................................................... 21
5.3.1. Cartographie des prestataires informatiques et autres partenaires ............................. 21
5.3.2. Corps procédural relatif aux prestataires informatiques et aux autres partenaires
(sélection, contractualisation, contrôle de premier niveau) ......................................................... 26
5.3.3. Tests réalisés par la mission de contrôle ........................................................................ 29
5.3.4. Dispositif de gestion des incidents d’origine cyber ........................................................ 30
5.3.5. Stratégie de continuité d’activité déployée au regard des services externalisés ......... 31
5.4. Dispositif de contrôle interne ................................................................................................. 35
5.4.1. Organisation et gouvernance du dispositif de contrôle interne .................................... 35
5.4.2. Cartographie des risques d’origine cyber ....................................................................... 35
5.4.3. Contrôle permanent ........................................................................................................ 36
5.4.4. Contrôle périodique ........................................................................................................ 36
6. Annexe : résultats détaillés des tests menés par la mission de contrôle ...................................... 38

3/40
 1. CONTEXTE DES TRAVAUX MENÉS
La cybersécurité fait partie des thèmes appréhendés par l’AMF dans le cadre de ses contrôles depuis 2019. Outre
deux campagnes de contrôles SPOT déjà effectuées sur ce thème en 2019 et 2020, une dizaine de contrôles
classiques ont déjà abordé cette thématique depuis cette date. La cybersécurité figurait en outre parmi les priorités
de supervision prévues pour 2023 sur le périmètre de la gestion d’actifs.
La première campagne SPOT menée sur ce périmètre avait ciblé le dispositif général de cybersécurité en termes
d’organisation, de gouvernance, d’administration, de surveillance et de contrôle du système d’information (« SI »),
de gestion des données sensibles et de la continuité d’activité. Elle avait conduit à constater que les SGP contrôlées
avaient pris la mesure des risques d’origine cyber en les intégrant à leurs cartographies des risques et en faisant
appel à des prestataires spécialisés pour vérification de la robustesse de leurs dispositifs de défense. Les
conclusions de cette campagne soulignaient néanmoins l’absence quasi-systématique de cartographie des
données sensibles et de politique de classification des données, ainsi que le pilotage insuffisant – par les SGP non
indépendantes – des prestations (relatives à l’informatique, la cybersécurité et la continuité d’activité) rendues par
leur maison mère.
La deuxième campagne SPOT concernant la cybersécurité a été conduite en 2020 dans le contexte de la pandémie
de Covid-19. Elle avait souligné une visibilité accrue des dirigeants sur les risques d’origine cyber, renforcée par
l’indépendance de la fonction en charge de la sécurisation des SI, ainsi qu’une amélioration du degré de sensibilité
des collaborateurs à ces risques, rendue possible grâce au déploiement de campagnes régulières de formation.
Cette campagne avait cependant conclu à une prise en compte superficielle du niveau de maturité du dispositif
cyber des prestataires informatiques externes, aussi bien lors du processus de contractualisation que lors des
évaluations ex post. Ces dernières n’avaient en effet pas permis d’identifier les vulnérabilités importantes
détectées lors des tests techniques exécutés (par un PASSI 5 délégué par la mission de contrôle) sur un échantillon
de services informatiques sensibles externalisés.
Dans ce contexte, cette troisième campagne SPOT dévolue à la cybersécurité a ciblé le processus de sélection, de
contractualisation avec les prestataires informatiques sensibles et les autres partenaires (dépositaires,
valorisateurs, teneurs de comptes-conservateur, commissaires aux comptes, apporteurs d’affaires, distributeurs)
ainsi que le contrôle de premier niveau de ceux-ci. L’inclusion dans le périmètre des travaux de cette seconde
famille d’acteurs est liée à l’existence de canaux informatiques d’échanges de données sensibles les reliant aux
SGP, canaux qu’il convient de prendre en compte lors de la structuration du dispositif de défense.
En outre, cette dernière édition s’inscrit pleinement dans la règlementation européenne DORA (Digital Operational
Resilience Act) 6, entrée en vigueur le 16 janvier 2023 et applicable à compter du 17 janvier 2025 7 (date à laquelle
les entités financières françaises et européennes concernées 8 devront s’être mises en conformité avec les
exigences de DORA). Ce dispositif fixe en effet un socle d’exigences minimales communes concernant la mise en
place de cadres complets de gouvernance et de contrôle interne pour les risques liés aux technologies de
l’information et de la communication (TIC), la mise en œuvre d’un processus spécifique de gestion des incidents
liés aux TIC et la mise en place d’un programme de tests de résilience opérationnelle. Elles définissent également
les principes clés de gestion du risque lié aux prestataires informatiques et instaure des droits et des obligations
dans le cadre de l’établissement d’accords contractuels entre les entités financières et tout prestataire de services
informatiques.

5 https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiance-qualifies/prestataires-daudit-de-la-securite-des-
systemes-dinformation-passi-qualifies/
6 Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit
règlement DORA). La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 a pour objectif de modifier les
directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, etc. afin de les mettre en cohérence
avec les nouvelles dispositions du règlement DORA.
7 Entre le 16 janvier 2023 et le 17 janvier 2025 seront publiées des normes réglementaires techniques et d’exécution (regulatory technical
standards (RTS) / implementing technical standards (ITS)).
8 L’article 2 de la règlementation DORA fournit la liste de ces entités parmi lesquelles figurent : les entreprises d’investissement, les
prestataires de services sur crypto-actifs, les gestionnaires de fonds d’investissement alternatifs, les sociétés de gestion et les prestataires
de services de financement participatifs.

4/40
  Rappel des synthèses précédentes : définition du risque de cybersécurité
En France, la notion de cybercriminalité a été définie initialement dans la loi informatique et libertés de 1978. Cette
notion a été précisée par la suite dans plusieurs lois successives entre 1988 (loi Godfrain sur la fraude informatique)
et 2006 (loi anti-terrorisme). Dans ce cadre, la France a créé en 2009 9, au sein du Secrétariat général de la défense
et de la sécurité nationale, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

L’AMF participe à la réflexion sur les risques de cybersécurité au travers de plusieurs groupes de travail
internationaux (en liaison avec la Banque de France et la Direction générale du Trésor) tels que le Cyber Expert
Group (CEG) du G7, le Conseil de stabilité financière (Financial Stability Board) et l’European Systemic Cyber Group
(ESCG) du Conseil européen du risque systémique (European Systemic Risk Board).

Le risque de cybersécurité découle de toute atteinte malveillante potentielle, interne ou externe, à l’une des
caractéristiques clés du SI d’une SGP, c’est-à-dire sa disponibilité, son intégrité, la confidentialité des données qu’il
traite, la traçabilité des actions qui y sont réalisées par les utilisateurs et la non-répudiation 10 de ces dernières. Il
est usuel de résumer ces caractéristiques par l’acronyme D.I.C.T. (Disponibilité, Intégrité, Confidentialité,
Traçabilité). Ce risque peut cibler les placements collectifs et/ou mandats gérés : il s’assimile alors à un risque
opérationnel mais ne s’y réduit pas. Sa réalisation peut en effet également conduire à une non-conformité
réglementaire 11 de la SGP dans les domaines relatifs à l’existence et au maintien :
 du niveau de fonds propres réglementaires (ces derniers pouvant être obérés en cas de rupture d’activité) ;
 d’une politique rigoureuse de conservation et de maintien des données opérationnelles, notamment aux
fins de contrôles par le contrôle interne de la SGP et par l’AMF (sur les transactions opérées et la lutte anti-
blanchiment) ;
 d’un plan de continuité d’activité (PCA) adapté, testé et efficace (une attaque cyber pouvant rendre
inutilisables les infrastructures informatiques de la SGP, ses installations de secours et/ou ses sauvegardes) ;
 de moyens (en particulier informatiques) adaptés et suffisants ;
 d’un dispositif solide de protection des données sensibles (sur les investisseurs, les placements collectifs, les
mandats et les employés).

Il est par ailleurs rappelé que la SGP doit être organisée de manière à informer « sans délai l’AMF des incidents
dont la survenance est susceptible d’entraîner pour la SGP une perte ou un gain, un coût lié
• à la mise en cause de sa responsabilité civile ou pénale,
• à une sanction administrative
• ou à une atteinte à sa réputation
• et résultant du non-respect des [règles d’organisation générale]
d’un montant brut dépassant 5 % de ses fonds propres réglementaires. » (articles 321-35 (SGP d’OPCVM ou de FIA
sous les seuils de la directive AIFM et n’ayant pas opté pour l’application intégrale de celle-ci) et 318-6 (SGP de FIA
soumises intégralement à la directive AIFM) du règlement général de l’AMF).

 Glossaire
Terme Définition
Il s’agit de la mise en œuvre de l’ensemble de mesures techniques et non techniques visant à
Administration du SI maintenir le SI en condition opérationnelle et de sécurité et à gérer les changements
mineurs/majeurs.
Antivirus Logiciel capable de détecter les virus informatiques et de les éliminer.
Procédure d’authentification qui requiert la concaténation d’au moins deux facteurs parmi les
Authentification forte
trois catégories suivantes : facteur de connaissance (mot de passe), de possession (token,

9 https://www.ssi.gouv.fr/agence/cybersecurite/lanssi/historique-de-lanssi/
10 Capacité du SI à associer de manière univoque (et sans contestation possible) les actions réalisées dans le SI par un utilisateur au compte
informatique de ce même utilisateur. Cette fonctionnalité est essentielle pour établir avec certitude une piste d’audit des actions menées
dans le SI.
11 Se référer à l’encadré « principales règles de droit » ci-dessous.

5/40
 Terme Définition
mobile) et d’inhérence (biométrie). Dans le cadre d’une authentification forte, l’un de ces
facteurs met en œuvre des moyens cryptographiques réputés fiables.
Procédé de cryptographie permettant de rendre incompréhensible un document à toute
Chiffrement
personne qui ne dispose pas de la clé de chiffrement.
Le cloud (nuage) fournit de l’espace de stockage, de la puissance de calcul et des logiciels
exécutables dans un centre de données distant. Le terme tient compte du fait que le serveur
cloud utilisé à cette fin n’est pas directement visible par l’utilisateur, mais caché comme derrière un
nuage. Un « cloud » est constitué de serveurs situés à distance et accessibles de n’importe où
et à n’importe quel moment via une connexion Internet sécurisée et protégée.
Fournisseur de services informatiques en nuage au sens des orientations de l’ESMA (ESMA50-
cloud service provider
164-4285) : https://www.esma.europa.eu/document/guidelines-outsourcing-cloud-service-
(CSP)
providers
Egalement appelé « patch », il s’agit d’une portion de code rajoutée à un programme existant
Correctif de sécurité
postérieurement à sa mise en production afin d’apporter un correctif à une faille de sécurité.
CRM customer relationship management : outil de gestion de la relation clients.
Attaque informatique ayant pour but de rendre indisponible un service informatique afin
Déni de service
d'empêcher ses utilisateurs légitimes de l'utiliser.
Authentification utilisant deux facteurs qui sont en général, un couple {identifiant (login) ; mot
Double authentification de passe} pour le premier, et un code à usage unique (soit reçu par SMS, soit généré par une
application dédiée) pour le second.
Il s’agit de l'utilisation d’une portion du réseau internet d’une organisation que cette dernière
Extranet va utiliser pour s'interconnecter avec ses partenaires. Par opposition, l’intranet se limite au
réseau interne de l'organisation.
Filtrage Internet Protocol : technique de sécurité visant à limiter l'accès à des sites internet
Filtrage IP
normalement accessibles sur le réseau.
Pare-feu : logiciel ou matériel permettant de faire respecter la politique de sécurité du réseau,
firewall celle-ci définissant quels sont les types de communications autorisés sur ce réseau
informatique.
Prise en charge contractuelle, par un prestataire extérieur, d'une partie ou de la totalité des
infogérance
ressources informatiques d'une entreprise.
mobile device management : permet de tracer les usages des mobiles fournis par l’entreprise
MDM
et de les désactiver à distance en cas de compromission, de vol ou de perte.
Technique utilisée par les fraudeurs pour obtenir des renseignements personnels dans le but
phishing d’usurper l’identité d’un individu ou d’une organisation. Elle ne fait pas systématiquement
l’objet d’un ciblage préalable de la victime.
Clause des contrats d'externalisation précisant les conditions dans lesquelles le prestataire, à la
réversibilité fin de la relation contractuelle, va organiser la restitution des données au client et la reprise en
main par ce dernier (ou un prestataire tiers) des systèmes ayant fait l'objet de l'externalisation.
Software as a Service : modèle d’exploitation commerciale de progiciels. Ceux-ci sont installés
SaaS sur des serveurs distants. Les clients ne payent pas de licence d’utilisation pour une version
mais utilisent le service en ligne pour lequel ils payent un abonnement.
Security operations center : plateforme permettant la supervision et l'administration de la
SOC sécurité du SI au travers d'outils de collecte, de corrélation d'événements et d'intervention à
distance.
Courriel indésirable et non sollicité reçu sur la boîte courriel professionnelle de l’utilisateur,
spam
pouvant contenir des liens corrompus.
Il s’agit de la somme des points faibles d’un système par lesquels un utilisateur non autorisé
Surface d’attaque pourrait potentiellement s'introduire dans un environnement logiciel et en soutirer des
données.
Virtual Private Network : système permettant de créer un lien direct entre des ordinateurs
VPN distants. Les VPN chiffrés permettent notamment l’accès distant sécurisé via un poste de travail
mobile au réseau de la société.
Wi-Fi Wireless Fidelity : réseau local permettant de relier sans fil plusieurs appareils informatiques

6/40
 2. RÉSUMÉ DES PRINCIPAUX ENSEIGNEMENTS
Précision méthodologique : À la différence de la campagne de contrôles SPOT menée en 2020 sur le thème de la
cybersécurité des SGP, la présente campagne n’a inclus de tests techniques ni sur le SI des SGP du panel contrôlé,
ni sur les applications externes utilisées par ces dernières.
Les analyses de la mission de contrôle sur les processus de gestion des données sensibles n’ont pas porté sur la
vérification de la conformité à la réglementation RGPD. Il est toutefois rappelé que le risque de cybersécurité peut
avoir un impact sur le respect, par la SGP, de ses obligations liées au RGPD.

S’agissant des moyens humains mis en œuvre par les SGP du panel dans le cadre du pilotage de leur SI, ils
s’appuient sur un responsable (ou directeur) des SI (RSI / DSI) rapportant directement à un dirigeant responsable
(pour les SGP n°2, 3, 4 et 5) ou à un membre du comité exécutif (pour la SGP n°1). Si la fonction de RSI/DSI est
exercée à temps plein dans 2 SGP sur 5 (n°1 et 5), elle est occupée à temps partiel par un manager dans les SGP
n°2 et 4, et par un RSI de la maison mère dans la SGP n°3. L’action du RSI/DSI est accompagnée par une équipe
interne dédiée au sein des SGP n°1 (2 ETP), 3 (4 ETP) et 5 (14 ETP) ainsi que par l’administrateur informatique 12
externe dans les SGP n°1, 3, 4 et 5.
La fonction de responsable de la sécurité des SI (RSSI) est assurée, à temps partiel, par un membre du comité
exécutif dans les SGP n°1, 2 et 5 ou par un dirigeant responsable dans les SGP n°3 et 4. Ce RSSI est le même que
celui intervenant déjà en tant que RSI/DSI dans les SGP n°2 et 5, ce qui emporte un risque de défaut
d’indépendance dans l’exercice de la fonction de RSSI. Les travaux de ce dernier sont appuyés par l’équipe
cybersécurité du groupe dans la SGP n°2, par un prestataire externe spécialisé dans la SGP n°1 et par
l’administrateur informatique externe dans les SGP n°2, 3 et 5.
La sensibilisation des collaborateurs aux risques d’origine cyber s’articule autour d’un plan de formations dédié
pour 4 SGP sur 5 (n°1, 3, 4 et 5). Ce plan inclut des formations en présentiel, à distance et la réalisation de tests de
phishing 13 réguliers. Seule la SGP n°2 n’a pas mis en place un tel dispositif, limitant l’effort de formation de ses
collaborateurs au partage en 2021 de supports collectés auprès de son association professionnelle.

S’agissant des moyens techniques mis en œuvre par les SGP du panel dans le cadre de leur dispositif de
cybersécurité, leur analyse conduit à constater la permanence de vulnérabilités standards pourtant déjà identifiées
lors des campagnes de contrôles SPOT menées en 2019 et 2020 sur le thème de la cybersécurité. Il s’agit
notamment du maintien de ports USB non bloqués sur les postes de travail des SGP n°4 et 5, de l’absence d’une
politique de gestion stricte des mots de passe au sein des SGP n°2, 3 et 4 ou de l’usage de systèmes de messagerie
non chiffrés 14 et accessibles sans double authentification 15 au sein des SGP n°2 et 4. La formalisation d’un
inventaire complet et nominatif des matériels informatiques utilisés peine également à se généraliser (elle ne
concerne que 3 SGP sur 5 : n°1, 2 et 3) ; il en va de même concernant l’établissement d’un SOC 16 couvrant
l’intégralité des systèmes critiques (mis en place par la seule SGP n°1).

S’agissant de la gouvernance du dispositif de cybersécurité mis en œuvre par les SGP du panel, elle implique
directement les dirigeants responsables des SGP du panel. Cette implication se traduit par la validation, à leur
niveau, de la stratégie de cybersécurité (au sein des SGP n°1, 3, 4 et 5) ainsi que par la présidence d’un comité
dédié au reporting des risques d’origine cyber (au sein des SGP n°1, 2, 3 et 4). Dans l’objectif d’accompagner le
pilotage du dispositif par leurs dirigeants responsables, 3 des 5 SGP contrôlées (n°1, 2 et 3) isolent d’ores et déjà,
dans le cadre de leur exercice budgétaire, les prévisions de dépenses spécifiques à la cybersécurité des prévisions
de dépenses informatiques générales.

12 Également appelé infogérant plus bas (cf. lexique).

13
Cf. lexique.
14 Ce constat a plusieurs causes identifiées au sein du panel : non mise en œuvre du standard de chiffrement de bout en bout pour les
courriels, absence de chiffrement des données stockées dans le serveur de messagerie, absence d’un accès avec flux chiffré (HTTPS) à la
messagerie ou absence d’un système d’envoi sécurisé vers l’extérieur de messages et de fichiers.
15
Cf. lexique.
16 Cf. lexique.

7/40
S’agissant de la cartographie des données et des systèmes sensibles, l’ensemble des SGP du panel ont formalisé
une cartographie technique de l’architecture globale de leur SI, incluant le réseau et les serveurs, ainsi qu’une
cartographie applicative affectant à chaque application un niveau de criticité. En revanche, ce dispositif ne s’appuie
sur une cartographie des données sensibles que pour 3 SGP sur 5 (n°1, 3 et 4). L’absence d’une telle cartographie
est de nature à obérer l’efficacité du dispositif de cybersécurité en le conduisant à omettre de protéger certaines
zones potentiellement sensibles du SI.

S’agissant du corps procédural relatif au dispositif de cybersécurité, il est hétérogène sur le panel contrôlé. Seules
2 SGP sur 5 (n°1 et 4) ont formalisé une politique de cybersécurité (présentant les règles, principes et
responsabilités en termes de cybersécurité) doublée d’une procédure déclinant opérationnellement la précédente.
La procédure de gestion des accès logiques au SI est inexistante au sein des SGP n°3 et 4 et réduite aux utilisateurs
à hauts privilèges pour la SGP n°1. Enfin, seules 3 SGP sur 5 (n°1, 3 et 5) ont formalisé et diffusé à leurs
collaborateurs une charte d’usage des moyens informatiques fournissant les exigences standards de sécurité
exigées des collaborateurs dans le cadre de l’usage des moyens informatiques de l’entreprise, les moyens de
contrôle du service informatique et les sanctions encourues en cas d’usage inadéquat.

S’agissant de la cartographie des prestataires informatiques sensibles, elle a fait l’objet d’une formalisation
exhaustive par 4 des 5 SGP du panel (n°1, 3, 4 et 5), et complétée par une analyse des risques associés aux services
rendus. Bien qu’elle se soit également livrée à cet exercice, la SGP n°2 a omis d’y intégrer les éditeurs d’applications
relatives à la passation des ordres, à la gestion de la relation clients (CRM 17) et à l’environnement bureautique 18.
Le parc applicatif de 4 des 5 SGP du panel est intégralement constitué d’applications externes. Cette proportion
est moindre (30 %) pour la SGP n°5 dont l’équipe informatique assure un travail conséquent de développement
d’applications internes. Les applications externes utilisées sont majoritairement fournies en mode SaaS 19. Une
analyse des coûts consolidés (sur la période sous contrôle) associés aux prestataires informatiques conduit à
constater que le poids des éditeurs applicatifs ne dépasse que légèrement celui des prestataires informatiques non
applicatifs (infogérant, hébergeur, prestataires de sécurité). Les premiers représentent en effet 45 % en moyenne
des coûts engagés sur la période sous contrôle aux prestataires informatiques contre 40 % en moyenne pour les
seconds.
Au sein de cette cartographie, les cloud service providers (CSP 20) représentent entre 37,5 % (pour les SGP n°1 et 4)
et 60 % (pour la SGP n°5) des prestataires informatiques sensibles des SGP du panel. 88 % de ces prestataires sont
des éditeurs applicatifs contre 12 % d’hébergeurs. L’ensemble des SGP du panel ont déclaré formellement à l’AMF,
entre novembre 2020 et février 2023, les CSP avec lesquels elles se trouvent en relation d’affaires. Un seul CSP a
été omis dans sa déclaration par la SGP n°3.

S’agissant de la cartographie des échanges dématérialisés actifs avec les autres partenaires 21, elle a été
formalisée, complémentairement à la précédente, par l’ensemble des SGP du panel. Cet exercice pâtit toutefois
d’une évaluation insuffisante des niveaux de risque associés aux différents canaux de communication utilisés.
Seules les SGP n°2 et 4 ont en effet entamé une telle évaluation (en la limitant au trio {dépositaire ; valorisateur ;
TCC} pour la SGP n°2 et en excluant le principal distributeur pour la SGP n°4). De plus, les vulnérabilités structurelles
associées à l’usage de courriels non chiffrés ou de plateformes accessibles sans double authentification n’ont pas
été prises en compte dans cet exercice. Les SGP du panel ont souligné, au regard de ce constat, que les canaux de
communication non sécurisés étaient systématiquement doublés de canaux sécurisés utilisés de manière
prioritaire dans le cadre d’échanges d’informations sensibles avec les partenaires concernés. Nonobstant, en
l’absence d’une formalisation de cette segmentation dans la cartographie des données sensibles des SGP
concernées, ces dernières ne disposent pas des moyens de supervision et de contrôle requis afin de vérifier l’usage
systématique, par leur collaborateur, du canal approprié en fonction du niveau de sensibilité des informations
échangées.

17 Customer relationship management

18
(incluant la messagerie ainsi que le stockage et le partage de documents)
19 Cf. lexique.
20 Cf. lexique.
21 Dépositaires, valorisateurs, teneurs de compte-conservateur (TCC), commissaires aux comptes (CAC) des fonds et de la SGP, apporteurs
d’affaires et distributeurs. Les canaux de communication informatiques établis avec ces acteurs sont en effet utilisés de manière régulière
pour échanger des informations et des documents sensibles.

8/40
S’agissant de la procédure relative à la sélection et à la contractualisation avec les prestataires informatiques et
les autres partenaires, ainsi qu’au contrôle de premier niveau de ceux-ci, elle a été formalisée par l’ensemble des
SGP du panel. Ces procédures rappellent les exigences réglementaires applicables, précisent les fonctions
essentielles externalisées et incluent des critères généraux de sélection et de contrôle de premier niveau, parmi
lesquels les compétences techniques, la disponibilité, la réactivité et le rapport qualité/prix. En revanche, les SGP
n°2, 3 et 5 ne prennent pas en compte le dispositif de cybersécurité des candidats lors du processus de sélection
et les SGP n°1, 3 et 5 ne prennent pas en compte leur dispositif de continuité d’activité. Enfin, aucune des 5 SGP
n’a explicitement formalisé dans sa procédure de critères (technico-fonctionnels ou de sécurité) spécifiques à la
sélection des CSP.

S’agissant de la phase de sélection des prestataires informatiques et des autres partenaires, sa formalisation est
prévue par la procédure de l’ensemble des SGP du panel. Seule la SGP n°5 a toutefois prévu de formaliser la mise
en concurrence des candidats. De plus, cette phase prévoit une vérification de l’existence de conflits d’intérêts
potentiels entre les candidats et la SGP. Une fois la phase de sélection achevée, le candidat retenu fait l’objet d’un
dossier de connaissance du fournisseur dont les pièces constitutives sont listées dans la procédure citée supra, ou
dans la procédure de LCB/FT.

Afin de vérifier l’application de la procédure citée supra lors de la phase de sélection, la mission de contrôle a
réalisé un test sur un échantillon de 6 à 10 prestataires/partenaires par SGP 22. Les taux d’anomalies 23 obtenus sont
élevés, traduisant l’absence quasi-systématique d’un processus de sélection formalisé conforme à la procédure. Ils
vont de 33 % (pour la SGP n°1) à 100 % (pour les SGP n°2, 4 et 5) sur le périmètre des prestataires informatiques,
et de 80 % (pour la SGP n°1) à 100 % (pour les 4 autres SGP) sur celui des autres partenaires.

S’agissant de la phase de contractualisation liant les SGP du panel aux prestataires informatiques et aux autres
partenaires, les procédures consultées listent les clauses destinées à être formalisées. Quatre des 5 SGP du panel
(n°1, 3, 4 et 5) font état dans ce cadre de clauses spécifiques aux dispositifs de cybersécurité et de continuité
d’activité associés aux services rendus. Il s’agit par exemple des conditions de protection des informations
confidentielles externalisées et du plan d'urgence permettant le rétablissement du service externalisé en cas de
sinistre.

Afin de vérifier l’application de la procédure citée supra lors de la phase de contractualisation, la mission de
contrôle a réalisé un test sur le même échantillon que précédemment. Les taux d’anomalies 24 obtenus vont de 0 %
(pour les SGP n°1 et 3) à 71,4 % (pour la SGP n°4) sur le périmètre des prestataires informatiques et de 32 % (pour
la SGP n°2) à 71,4 % (pour la SGP n°3) sur le périmètre des autres partenaires. Bien que moins élevés que pour le
test précédent, ces taux demeurent significatifs, soulignant l’absence de plusieurs clauses importantes (gestion des
incidents, cybersécurité, continuité d’activité) dans les contrats signés avec des acteurs pourtant névralgiques du
SI des SGP contrôlées (tel que l’infogérant des SGP n°2, 4 et 5). Ces anomalies posent question quant à la capacité
de ces SGP à (i) contrôler efficacement les services rendus par ce type d’acteur, (ii) mesurer les risques de sécurité
auxquels elles sont exposées en lien avec les services externalisés, ainsi qu’à (iii) pouvoir réagir efficacement en
cas de difficultés opérationnelles rencontrées dans l’exécution du service.

S’agissant de la phase de contrôle de premier niveau des services rendus par les prestataires informatiques et
les autres partenaires, les procédures consultées de 4 des 5 SGP du panel (n°1, 3, 4 et 5) en précisent les modalités
(fréquence, responsabilité, méthodes et dispositif de réaction aux anomalies). L’obligation de formalisation de ce
contrôle de premier niveau est précisée dans les procédures des 5 SGP.

22
Les couples nombre de prestataires / nombre de partenaires testés par SGP sont les suivants : {3 ; 5}, {2 ; 4}, {5 ; 3}, {3 ; 6} et {4 ; 6}.
23 Nombre de membres du panel pour lesquels des erreurs ont été identifiées / Nombre total de membres dans le panel.
24 Nombre (consolidé sur l’échantillon) de clauses manquantes dans les contrats consultés / nombre (consolidé sur l’échantillon) total de
clauses attendues (soit 7 clauses en tout relatives respectivement au dispositif de cybersécurité, au droit d’audit, à la réversibilité, à la
garantie d’accès aux données, à la localisation géographique des infrastructures du prestataire, à la gestion des incidents d’origine cyber
et à la continuité des activités).

9/40
Trois SGP sur 5 (n°1, 2 et 3) ont inclus dans le périmètre de ce contrôle de premier niveau le dispositif de
cybersécurité et le dispositif de continuité d’activité des prestataires/partenaires. En revanche, la SGP n°4 ne prend
pas en compte le premier dispositif et la SGP n°5 ne prend en compte aucun des deux.
En outre, les contrôles de premier niveau ayant débouché sur une rupture des relations contractuelles entre les
SGP du panel et leurs prestataires/partenaires sont rares, comme en témoignent les taux de rotation de ces acteurs
constatés sur la période sous contrôle (4,2 % en moyenne pour les prestataires informatiques contre 10,2 % pour
les autres partenaires). Aucune des SGP du panel n’a d’ailleurs formalisé une stratégie globale de sortie (« exit
strategy ») aboutie incluant notamment des critères objectifs pouvant conduire à la cessation de la relation
contractuelle et un plan de récupération (ou de destruction) des données de la SGP collectées par le prestataire.

Afin de vérifier l’application de la procédure lors de la phase de contrôle de premier niveau, la mission de contrôle
a réalisé un test sur le même échantillon que précédemment. Les taux d’anomalies 25 obtenus vont de 0 % (pour
les SGP n°1 et 5) à 100 % (pour la SGP n°4) sur le périmètre des prestataires informatiques, et de 33 % (pour les
SGP n°3 et 5) à 100 % (pour la SGP n°4) sur le périmètre des autres partenaires. La significativité de ces taux s’avère
étonnante dans la mesure où la mise en place de contrôle n’est ni complexe, ni coûteuse, notamment du fait de la
diversité (et la complémentarité) importante des modalités d’évaluation possibles 26.

S’agissant du dispositif de gestion des incidents d’origine cyber, il bénéficie d’un service (interne ou externe) 24/7
de surveillance et de support pour 3 SGP du panel (n°3, 4 et 5). De plus, 3 SGP (n°1, 4 et 5) ont formalisé un plan
opérationnel de réponse en cas de cyberattaques. L’ensemble du panel dispose d’un registre formel de collecte
des incidents d’origine cyber subis ou bloqués par les systèmes de défense. La consultation de ce registre conduit
à constater un faible volume d’incidents d’origine cyber répertoriés par les SGP n°1, 2 et 3 sur la période sous
contrôle (1 par an en moyenne). Néanmoins, le nombre élevé d’attaques de phishing 27 (54 comptabilisées) subies
par la SGP n°4 (avec aboutissement de l’une d’entre elles 28) et le ciblage de l’infogérant de la SGP n°1 (conduisant
à une coupure réseau de 24h) invitent à ne pas baisser la garde.

S’agissant de la stratégie de continuité d’activité déployée au regard des services externalisés, les 5 SGP du panel
bénéficient d’un dispositif de sauvegarde de leurs données informatiques sensibles. Les sauvegardes effectuées
font l’objet de tests de restauration réguliers. En revanche, ce dispositif ne couvre pas l’intégralité des données
externalisées pour les SGP n°1 et 5. De plus, 4 des 5 SGP du panel ont formalisé un plan de continuité des activités
(PCA) (n°1, 2, 3, 5) et 3 de ces SGP (n°1, 2 et 3) en ont réalisé le test formel régulier sur la période sous contrôle.
Ces 3 SGP bénéficient en outre d’une assurance contre les risques d’origine cyber.
En revanche, le PCA de la SGP n°4 s’avère obsolète dans sa description du processus courant de sauvegarde des
données. De plus, celui de la SGP n°1 ne prend pas en compte sa dépendance élevée à l’infogérant. Enfin, celui de
la SGP n°2 n’a pas été testé en 2022 sur l’intégralité des applications sensibles (en dehors du PMS 29).

S’agissant du dispositif de contrôle permanent des SGP du panel, il s’appuie sur un RCCI à plein temps qui rapporte
à un dirigeant responsable ou à un membre du comité exécutif. Ce RCCI est accompagné de deux collaborateurs
dans les SGP n°1 et 5.
Les 5 SGP du panel ont formalisé et maintenu à jour une cartographie des risques qui intègre le risque d’origine
cyber. En revanche, seules les SGP n°1 et 5 ont prévu dans cette cartographie un risque spécifique à la sélection, à
la contractualisation et au suivi des prestataires informatiques et des autres partenaires.
Par ailleurs, les 5 SGP du panel ont formalisé un plan de conformité et de contrôle interne (PCCI). Ce plan, actualisé
chaque année sur la période sous revue, a inclus au moins un contrôle ciblant le dispositif de cybersécurité de la
SGP. Ces contrôles ont fait l’objet d’une formalisation adéquate. Les PCCI consultés ont également inclus un
contrôle ciblant la sélection, la contractualisation et le suivi des prestataires informatiques et des autres

25 Nombre de membres du panel pour lesquels des erreurs ont été identifiées / Nombre total de membres dans le panel.
26 Grilles d’évaluation, fiches de suivi de prestation ou de service review, tableaux de bord, procès-verbal de comité de pilotage de la
prestation, comités de pilotage sécurité, indicateurs de performance, tableaux de suivi des incidents ou collecte de rapport d’audit de
sécurité fourni par le prestataire/partenaire (https://www.ssi.gouv.fr/guide/externalisation-et-securite-des-systemes-dinformation-un-
guide-pour-maitriser-les-risques/).
27 Cf. lexique.
28
Conduisant à la publication sur internet d’identifiants informatiques de collaborateurs.
29 portfolio management system : application de gestion des portefeuilles.

10/40
partenaires, mais pour 3 seulement des SGP du panel (n°1, 3 et 4). Les conclusions de ces contrôles ont également
été formalisées (et étayées par des preuves).

S’agissant du dispositif de contrôle périodique des SGP du panel, il est intégralement délégué à un prestataire
externe dans 4 SGP (n°1, 3, 4 et 5) mais opéré par l’audit interne du groupe pour la SGP n°2.
L’indépendance des équipes en charge des fonctions de contrôle permanent et périodique a été constatée par la
mission de contrôle, sauf pour la SGP n°1 au sein de laquelle une même société externe a mené un audit technique
du dispositif de cybersécurité (en 2021), puis a assuré (de juin 2022 à mars 2023) une mission de RSSI délégataire.
Par ailleurs, les 5 SGP du panel ont formalisé et mis à jour annuellement un plan de contrôle périodique au cours
de la période sous contrôle. Ces plans de contrôle périodique ont tous inclus au moins un audit ciblant le dispositif
de cybersécurité de la SGP. Chaque audit a fait l’objet d’une formalisation adéquate.
En revanche, seule une SGP sur les 5 a diligenté, sur la période sous contrôle, un audit formel du processus de
sélection, contractualisation et suivi des prestataires informatiques et des autres partenaires. L’absence de
contrôle périodique sur ce processus a cependant été compensée par la réalisation d’audits techniques ponctuels
ayant ciblé les services rendus par une partie de ces acteurs. La SGP n°1 a d’ailleurs utilisé la clause d’audit
contractuelle négociée avec son infogérant et l’éditeur de sa plateforme de souscription en ligne pour déclencher
les audits en question.

L’AMF constate la permanence de 2 mauvaises pratiques pourtant déjà identifiées lors des deux campagnes de
contrôles SPOT cybersécurité précédentes concernant le processus de sélection et de contractualisation avec les
prestataires informatiques et les autres partenaires, ainsi que le contrôle de premier niveau de ceux-ci. Il s’agit de
la prise en compte insuffisante des vulnérabilités potentielles des canaux d’échanges de données informatiques
avec les autres partenaires dans la cartographie des SI, et de la limitation de la surveillance automatisée du SI aux
seules heures ouvrées. Sur ce même processus, l’AMF constate également que la prise en compte des critères
relatifs à la cybersécurité dans la sélection formelle des prestataires informatiques et des autres partenaires,
pourtant identifiée comme une bonne pratique lors de la campagne SPOT 2020, n’est pas l’approche majoritaire
des 5 SGP du panel 2023.
De plus, l’existence de plusieurs vulnérabilités standards au sein du dispositif des SGP du panel (nécessitant des
remédiations simples et peu coûteuses) est préoccupante. Il en est ainsi, à titre d’exemple, de la SGP n°4 qui cumule
des vulnérabilités matérielles (postes de travail et courriels non chiffrés, ports USB non bloqués) et
organisationnelles (absence de formation des collaborateurs aux risques d’origine cyber), un processus opaque (et
insuffisamment contrôlé) de sélection et de suivi des prestataires informatiques et des autres partenaires à
l’absence de tests réguliers de son PCA, malgré une cinquantaine d’attaques par phishing répertoriées au cours de
la période sous contrôle.
Bien que l’AMF n’ait pas, à ce stade, engagé de procédures répressives pour dispositif cyber défaillant auprès
des SGP 30, de telles carences, si elles devaient perdurer, pourraient être de nature à justifier à l’avenir une telle
procédure.

30 À la différence d’autres autorités de supervision des marchés financiers telles que la SEC par exemple.

11/40
 3. PÉRIMÈTRE ET ORGANISATION DES TRAVAUX
Le panel des SGP contrôlées est présenté dans le tableau suivant.

SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Appartient à un
Appartient à un
Organisation SGP indépendante groupe non- SGP indépendante Filiale d’une SGP
groupe français
européen régulé
Agrément
initial en tant 2002 1993 2006 2000 2015
que SGP 31
2014 2014
Agrément 2014 2014
(au-dessus des (au-dessus des néant
AIFM (en deçà des seuils) (en deçà des seuils)
seuils) seuils)
Activité Capital- Gestion Gestion Gestion 32
Passive
principale investissement traditionnelle traditionnelle traditionnelle
professionnelle / professionnelle / non professionnelle / non
Clientèle professionnelle non professionnelle
non professionnelle professionnelle professionnelle
Effectifs 90 < x < 100 20 < x < 30 20 < x < 30 20 < x < 30 50 < x < 90
Encours sous gestion (au 31 décembre 2022) en Md€
Total 1,5 < x < 2 1 < x < 1,5 1 < x < 1,5 0,5 < x < 1 0,5 < x < 1
Données financières (au 31 décembre 2022) en M€
Résultat net > 10 <0 1<x<2 <0 <0

Le contrôle a porté sur la période allant du 1er janvier 2020 au 31 décembre 2022.

Caveat : la présente synthèse n’établit pas de distinction formelle entre les fournisseurs intra et extra-groupe pour
les 3 SGP du panel non indépendantes (n°2, 3 et 5), notamment pour des raisons de confidentialité. L’AMF rappelle
cependant à cet effet que ces deux catégories de fournisseurs doivent être traités par les SGP avec la même rigueur
du point de vue de leur sélection, de la contractualisation et de l’évaluation régulière des services qu’ils délivrent.
Les bonnes et mauvaises pratiques exprimées dans la suite de la synthèse sont donc valables aussi bien pour des
prestataires internes qu’externes au groupe d’appartenance des SGP du panel non-indépendantes.

4. RÈGLEMENTATION APPLICABLE
Les analyses menées se sont appuyées sur les textes suivants :
 le code monétaire et financier (CMF) ;
 le règlement général de l’AMF (RG AMF) ;
 le règlement délégué (UE) (RD) n° 231/2013 du 19 décembre 2012 complétant la directive 2011/61/UE
(directive AIFM) ;
 le règlement délégué (UE) (RD) n°2017/565 du 25 avril 2016 complétant la directive 2014/65/UE
(directive MIF II) ;
 la Position AMF DOC-2021-05 intégrant les orientations de l’ESMA 50-164-4285 FR du 10 mai 2021
relatives à la sous-traitance à des prestataires de service en nuage.

31 Inclut l’agrément pour la gestion d’OPCVM et la gestion sous mandat, sauf pour la SGP n°3 dont l’agrément initial ne porte que sur la
gestion d’OPCVM.
32
La gestion développée pour les trois activités (gestion collective, gestion sous mandat, gestion de mandats d’arbitrage en UC) s’appuie sur
la définition de portefeuilles modèles.

12/40
Rappel : Le tableau ci-dessous inclut l’ensemble du corpus réglementaire sur lequel l’AMF s’est appuyée pour
réaliser ses travaux. Il précise, le cas échéant, les types de SGP ou d’activité pour lesquels les articles s’appliquent
(OPCVM – SGP d’OPCVM ou de FIA sous les seuils de la directive AIFM et n’ayant pas opté pour l’application
intégrale de celle-ci, FIA – SGP de FIA soumises intégralement à la directive AIFM, ou GSM - gestion sous mandat).

Les travaux de contrôle menés se sont également appuyés sur les bonnes pratiques de l’Agence nationale de
sécurité des systèmes d’information (ANSSI) à destination des entreprises 33.

Concernant l’organisation et les moyens mis en œuvre

Articles 321‐23 (OPCVM) et 318-1 (FIA) du RG AMF, 57 (1) du RD n° 231/2013 (FIA) et 21 (1) (a) du RD
n°2017/565 (GSM) concernant les moyens matériels, financiers et humains adaptés et suffisants dont la SGP
doit se doter, ainsi que l’établissement et le maintien opérationnel de procédures de prise de décision et d’une
structure organisationnelle précisant sous une forme claire et documentée les lignes hiérarchiques et la
répartition des fonctions et des responsabilités.

Articles 321-36 du RG AMF (OPCVM), 60 du RD n°231/2013 (FIA), 22 (2) (c) et 25 (2) du RD n°2017/565 (GSM)
concernant la communication régulière sur les risques de la SGP à l’organe de direction.
Concernant les politiques et procédures
Articles 321-30 (OPCVM) du RG AMF, 61 (1) du RD n° 231/2013 (FIA) et 22 (1) du RD n°2017/565 (GSM)
concernant l’établissement et le maintien opérationnel des politiques, procédures et mesures adéquates visant
à détecter tout risque de non-conformité aux obligations professionnelles.

Concernant l’enregistrement, la protection et la conservation des données

Articles 321-24 du RG AMF (OPCVM), 57 (2) du RD n° 231/2013 (FIA) et 21 (2) du RD n°2017/565 (GSM)
concernant l’obligation de sauvegarde de la sécurité, de l’intégrité et de la confidentialité des informations
traitées par la SGP.
Articles L. 533-8 et L. 533-10 II 6° du CMF, 321-23 (VII), 321-69, à 321-74 du RG AMF (OPCVM), 57 (1) (e), 58,
64, 65 et 66 du RD n°231/2013 (FIA), 312-41 du RG AMF, 21 (1) (f), 72 à 76 du RD n°2017/565 (GSM) sur
l’enregistrement et la conservation des données.

Concernant la formation et la sensibilisation des collaborateurs

Articles 321-23 (III) et (V) du RG AMF (OPCVM), 22 et 57 (1) (b) du RD n°231/2013 (FIA) et 21 (1) (b), (d) du RD
n°2017/565 (GSM) concernant l’emploi par les SGP de personnels disposant des compétences, des
connaissances et de l’expertise requises.
Concernant la collecte des incidents
Articles 321-35 (g) du RG AMF (OPCVM) et 318-6 du RG AMF (FIA) sur l’information des dirigeants et de l’AMF
sur d’éventuels incidents de la SGP.

Concernant la continuité d’activité

Articles 321-25 du RG AMF (OPCVM), 57 (3) du RD n°231/2013 (FIA), 21 (3) du RD n°2017/565 (GSM)
concernant l’établissement et le maintien d’un plan de continuité d’activité garantissant, en cas d’interruption
des systèmes et des procédures, la sauvegarde des données essentielles et la poursuite des activités de gestion.

33 https://www.ssi.gouv.fr/entreprise/bonnes-pratiques/

13/40
 Concernant l’externalisation de processus auprès de prestataires
Articles 321-93 à 321-96 du RG AMF (OPCVM), 318-58 à 318-61 du RG AMF (FIA), 30 et 31 du RD n°2017/565
(GSM) concernant l’externalisation de tâches ou de fonctions opérationnelles essentielles ou importantes.

Concernant le dispositif de contrôle interne

Articles 321-23 (IV) et 321-31 du RG AMF (OPCVM), 57 (1) (c), (6) et 61 (2) du RD n°231/2013 (FIA), 21 (1) (c),
(5) et 22 (2) du RD n°2017/565 (GSM) concernant la mise en place d’une fonction de conformité efficace,
exercée de manière indépendante, ainsi que l’établissement et le maintien opérationnel de mécanismes de
contrôle interne appropriés conçus pour garantir le respect des décisions et des procédures à tous les niveaux
du gestionnaire.
Articles 321-83 du RG AMF (OPCVM), 62 du RD n°231/2013 (FIA), 24 du RD n°2017/565 (GSM) concernant
l’établissement et le maintien d’une fonction de contrôle périodique exercée de manière indépendante.

5. PRINCIPAUX CONSTATS
5.1. Organisation et gouvernance de la cybersécurité

5.1.1. Moyens humains et techniques

 Moyens humains
L’organisation en charge du pilotage des SI est décrite dans le tableau suivant.

SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
RSI 34 RSI RSI RSI DSI 35
Fonction en (fonction dédiée) (fonction assurée (fonction assurée par (fonction assurée par
charge des SI par le Secrétaire l’un des RSI de la la responsable
de la SGP général) maison mère) administrative de la
SGP)
Directeur des Dirigeant Hiérarchique vers la Dirigeant Dirigeant
opérations (qui responsable direction du groupe responsable responsable
Ligne(s) de
rapporte aux
« reporting »
dirigeants Fonctionnelle vers le
direct de cette
responsables) dirigeant
fonction supra
responsable de la
SGP
2 ETP en charge néant 4 ETP (ressources néant 14 ETP en charge
Équipe interne notamment du groupe) notamment du
associée à support de premier développement
cette fonction niveau interne des outils
informatiques métier
Administrateur néant Administrateur Administrateur Administrateur
informatique informatique extra- informatique informatique
Équipe externe externe en charge européen externe en externe en charge externe en charge
associée à notamment du charge notamment notamment du notamment du
cette fonction support du support de support support
informatique de premier niveau informatique de informatique de
second niveau premier niveau premier niveau

Seules 2 SGP sur 5 (n°1 et 5) bénéficient d’une fonction dédiée au pilotage du SI.

Par ailleurs, l’organisation en charge de la cybersécurité est décrite dans le tableau suivant.

34
Responsable des systèmes d’informations
35 Directeur des systèmes d’informations.

14/40
 SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
RSSI 36 RSSI RSSI RSSI DSI : idem supra
Fonction en
(fonction assurée par (fonction assurée (fonction assurée par (fonction assurée par
charge de la
le Directeur des par le SG) : idem un dirigeant un dirigeant
sécurité des SI
opérations) supra responsable) responsable)
Ligne de Dirigeants Dirigeant Dirigeant Dirigeants Dirigeant
« reporting » responsables de la responsable de la responsable de la responsables de la responsable de la
direct de cette SGP SGP SGP SGP SGP
fonction
néant L’équipe en charge néant néant néant
de la cybersécurité
du groupe intervient
dans la
Équipe interne communication
associée à d’incidents entre
cette fonction affiliés du groupe et
assure le support de
ces derniers dans le
cadre de leur
traitement.
Un prestataire L’administrateur L’administrateur néant L’administrateur
externe a exercé informatique informatique extra- informatique
Équipe externe entre juin 2022 et externe qui exerce européen externe. externe (en charge
associée à mars 2023 (à raison opérationnellement notamment de la
cette fonction d’une journée par la fonction de RSSI à surveillance du SI).
semaine) la fonction raison de 2 jours par
de RSSI délégué 37. semaine.

Ainsi, à l’exception de la SGP n°4, les SGP du panel bénéficient du support d’un prestataire externe pour assurer
opérationnellement les missions de surveillance et de support associées à la fonction de RSSI. Seule la SGP n°1 en
revanche a souscrit dans ce cadre une prestation dédiée auprès d’une société externe spécialiste de la
cybersécurité.

L’analyse comparée des deux tableaux supra montre que la fonction en charge de la cybersécurité n’est pas
indépendante de celle en charge du pilotage du SI pour 2 SGP sur 5 (n°2 et 5). Cette fonction dispose toutefois
d’une ligne de reporting directe auprès des dirigeants responsables de la SGP pour l’ensemble des SGP du panel.

Enfin, seule la SGP n°2 n’a pas formalisé de fiches de poste précisant et différenciant les responsabilités respectives
de la fonction en charge des SI par rapport à celle en charge de la cybersécurité.

 Sensibilisation des collaborateurs aux risques d’origine cyber

Quatre SGP sur 5 ont formalisé un plan de formation sur ce thème incluant à la fois des formations en présentiel,
à distance et la réalisation de tests de « phishing » à une fréquence allant de mensuelle (pour la SGP n°1) à annuelle
(pour les SGP n°2 et 3). Le paramétrage et l’exécution de ces tests ont été délégués à un prestataire externe par
les SGP n°1 et 5. Ces 4 SGP assurent en outre un suivi formel des résultats obtenus aux tests par leurs collaborateurs
afin d’adapter l’effort de formation à ceux présentant les taux d’échec les plus importants et récurrents.
Seule la SGP n°2 n’a pas mis en place un tel dispositif, limitant l’effort de formation de ses collaborateurs en termes
de cybersécurité à deux actions de sensibilisation menées en 2021 sur la base de supports collectés auprès de son
association professionnelle.

36 Responsable de la sécurité des SI.

37 Il s’agit d’une prestation de type « CaaS » (« CISO (chief information security officer) as a service »). Il a eu notamment pour objectif d’assurer
le suivi par l’administrateur informatique externe des recommandations de sécurité émises suite à deux audits techniques menés en 2019
et 2021.

15/40
  Moyens techniques
La mission de contrôle a vérifié le déploiement par les SGP du panel de moyens de sécurité standards sur leur SI.
Le résultat de ces vérifications est présenté dans le tableau suivant.

SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Réseau
Pare-feu 38 OUI OUI OUI OUI OUI
Accès distant au réseau de la SGP protégé par VPN 39 OUI OUI OUI OUI OUI
Messagerie professionnelle
Double authentification 40 requise pour se connecter OUI NON OUI NON OUI
Chiffrement des échanges 41 NON NON NON NON OUI
Anti-spam OUI OUI OUI OUI OUI
Postes de travail
Antivirus OUI OUI OUI OUI OUI
Double authentification requise pour se connecter NON NON OUI NON OUI
Chiffrement des disques OUI OUI OUI NON NON
Ports USB bloqués OUI OUI OUI NON NON
Existence d’utilisateurs métier dotés du profil « administrateur » 42 NON NON NON NON OUI 43
Politique stricte de gestion du mot de passe d’accès OUI 44 NON NON NON OUI
Téléphones mobiles professionnels
Centralisation de la configuration de la sécurité de la flotte mobile via
OUI NON NON NON NON
MDM 45

L’analyse de ce tableau montre l’existence, sur les postes de travail, de vulnérabilités standards, déjà constatées
lors des campagnes de contrôles SPOT relatives à la cybersécurité menées en 2019 et 2020, telles que le maintien
de ports USB non bloqués ou l’absence d’une politique stricte de gestion des mots de passe 46. De plus, la présence
de vulnérabilités cumulées sur les messageries professionnelles (absence de double authentification et de
chiffrement des courriels pour les SGP n°2 et 4) pose question dans le cadre de l’usage courant constaté de ce
canal 47 pour l’échange de données sensibles avec un nombre significatif de partenaires 48 des SGP.

Par ailleurs, la faible proportion de SGP du panel (1 sur 5) s’étant dotée d’un MDM trouve à s’expliquer dans
l’absence de généralisation de l’attribution de téléphones mobiles à l’ensemble des collaborateurs.

La mission de contrôle a en outre constaté que 3 SGP sur 5 (n°1, 2 et 3) avaient formalisé et maintenu à jour un
inventaire lisible des équipements informatiques 49 de la société, précisant une affectation nominative (ou un lieu
de stockage sécurisé) pour chacun d’eux. La SGP n°1 a prévu dans ce cadre, à compter de T4 2023, d’œuvrer à
unifier les technologies utilisées en interne pour ces équipements afin d’optimiser la gestion de leur obsolescence.

38 Cf. lexique.
39 Cf. lexique.
40 Cf. lexique.
41 Ce constat a plusieurs causes identifiées au sein du panel : non mise en œuvre du standard de chiffrement de bout en bout pour les
courriels, absence de chiffrement des données stockées dans le serveur de messagerie, absence d’un accès avec flux chiffré (HTTPS) à la
messagerie ou absence d’un système d’envoi sécurisé vers l’extérieur de messages et de fichiers.
42 Ce profil permet notamment de télécharger sur le poste de travail, à partir d’internet, des logiciels pouvant s’avérer malveillant.
43 Un tiers des utilisateurs sont administrateurs de leur poste de travail. Il s’agit essentiellement de développeurs informatiques qui utilisent
un tel accès afin de pouvoir télécharger de manière autonome des outils d’aide au développement des applications de la SGP.
44 Cette politique inclut l’obligation pour les salariés de renouveler leur mot de passe tous les 3 mois en respectant les conditions suivantes :
12 caractères minimum, combinaison de chiffres/lettres/majuscules/caractères spéciaux, interdiction d’usage du nom/prénom et des 5
derniers mots de passe utilisés. Un audit de la robustesse des mots de passe est en outre réalisé annuellement.
45 Cf. lexique.
46 Conforme aux critères ANSSI (https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/ ).
47 Cf. section 5.3.1 infra.
48 Dépositaires, valorisateurs, teneurs de compte-conservateur, commissaires aux comptes (CAC), distributeurs, apporteurs d’affaires par
exemple.
49 Ordinateurs portables, téléphones mobiles, tablettes, serveurs et robots de sauvegarde.

16/40
Enfin, seule la SGP n°1 a mis en place un SOC couvrant l’intégralité de ses systèmes critiques. Les SGP n°2 et 4 ne
bénéficient pas d’un tel service 50. Quant aux SOC déployés sur le SI des SGP n°3 et 5, ils n’assurent qu’une
couverture partielle des SI respectifs de ces 2 SGP 51.

5.1.2. Gouvernance du dispositif de cybersécurité

 Définition formelle de la stratégie de cybersécurité

La stratégie de cybersécurité des SGP du panel est élaborée de la manière suivante.

La stratégie de
cybersécurité SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
est
le service en charge
proposée par : le RSI de la sécurité des SI le RSI le RSSI le DSI
du groupe
revue par : le RSSI néant néant le RCCI néant
le secrétaire général
(« SG ») de la SGP
les deux dirigeants- les deux dirigeants un dirigeant un dirigeant
validée par : qui rapporte à l’un
responsables responsables responsable responsable
des dirigeants-
responsables
déclinée par : le RSSI le RSSI le RSI le RSSI le DSI

Quatre SGP sur 5 ont fixé pour objectif à leur stratégie de cybersécurité de garantir la disponibilité, la sécurité et
l'intégrité du système d’information et des données. La SGP n°5 propose une approche plus granulaire, reposant
sur 4 piliers : la gouvernance des risques d’origine cyber, la sensibilisation des collaborateurs à ces risques, la
sécurisation des systèmes (installations physiques, réseau, applications, données) ainsi que la gestion des incidents
d’origine cyber.

 Reporting aux dirigeants-responsables relatifs aux risques d’origine cyber

Quatre des 5 SGP du panel disposent d’un comité au cours duquel les risques d’origine cyber et les actions
(préventives ou de remédiation) associées sont suivis par au moins un dirigeant responsable de chaque SGP 52,
membre permanent du comité. Ces comités font systématiquement l’objet d’un compte rendu permettant de
mesurer la progression des actions de veille et de défense. Leur fréquence varie de mensuelle (pour les SGP n°1 et
3) à semestrielle (pour la SGP n°2). Un représentant de l’administrateur informatique externe y participe
systématiquement, de même qu’un représentant de la fonction informatique du groupe pour la SGP n°3 53.
Néanmoins, la SGP n°5 ne s’est pas dotée d’un organe de ce type, ce qui induit un risque de défaut d’information
de son dirigeant responsable s’agissant du niveau d’exposition de la SGP aux risques d’origine cyber.

 Budgets et dépenses liées à la cybersécurité

Les informations collectées sur ce périmètre ont permis de dresser le tableau comparatif suivant.

50
Cela est étonnant pour la SGP n°2 qui pourrait bénéficier de la couverture du SOC de sa maison mère.
51 Le SOC de la SGP n°3 ne couvre pas l’application de CRM (cf. lexique). Quant au SOC de la SGP n°5, il ne couvre que les applications internes
développées dans le « cloud » et non les applications externes.
52 Le comité mis en place sur ce périmètre par la SGP n°1 a exclu les dirigeants-responsables à compter de juillet 2022.
53
Le RSI/RSSI et le RCCI de la SGP n°2 participent quant à eux à un comité (supplémentaire) organisé 3 fois par an par le groupe sur les thèmes
de la sécurité des SI et de la continuité d’activité.

17/40
 SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
données non
Budget informatique / budget total SGP
2,24 % 6% 7,4 % fournies par la 16 %
(en moyenne sur la période sous contrôle)
SGP
La part du budget informatique dédié à la
OUI OUI OUI NON NON
cybersécurité est clairement identifiable.
Budget cyber / budget informatique (2022) 10 % 9,1 % 7,6 % N/A N/A
Évolution de ce taux entre janvier 2020 et
+4% + 7,5 % +1% N/A N/A
décembre 2022
Dépenses cyber / dépenses informatiques (2022) 20 % 5,4 % 7,5 % 2% 1,8 %
Évolution de ce taux entre janvier 2020 et
+ 13 % + 257 % + 4,4 % -2,4 % + 1,4 %
décembre 2022

Toutes les SGP du panel sont parvenues à isoler (à la demande de la mission de contrôle) les dépenses liées à la
cybersécurité 54 des dépenses informatiques générales 55. Seulement 2 SGP sur 5 (n°4 et 5) n’ont pas été en capacité
de dupliquer l’exercice s’agissant des budgets associés.

Les SGP n°1, 3 et 4 ont confirmé à la mission de contrôle considérer que le ratio « dépenses cyber / dépenses
informatiques » atteint en 2022 était en ligne avec leur appréciation des risques d’origine cyber auxquels le SI de
la SGP était exposé, ainsi qu’avec leur stratégie de développement. Les SGP n°2 et 5 ciblent en revanche un
accroissement de ce ratio d’ici 2025 à 10 % pour la SGP n°2 (contre 5,4 % en 2022) et 5 % pour la SGP n°5 (contre
1,8 % en 2022). La SGP n°1 a ajouté que les dépenses engagées incluaient le coût des audits techniques délégués
qu’elle s’appliquait à lancer de manière systématique sur les sociétés cibles au sein desquelles elle envisageait
d’investir.

Rappels réglementaires
- Article 321-23 (VI) du RG AMF : « La SGP […] VI. – […] établit et maintient opérationnel un système
efficace de remontées hiérarchiques et de communication des informations à tous les niveaux
pertinents. » (et les articles 57 (1) (d) du RD n°231/2013 et 21 (1) (e) du RD n°2017/565).
- Articles 321-24 du RG AMF : « La SGP établit et maintient opérationnels des systèmes et procédures
permettant de sauvegarder la sécurité, l'intégrité et la confidentialité des informations de manière
appropriée eu égard à la nature des informations concernées. » (et les articles 57 (2) du RD n°231/2013
et 21 (2) du RD n°2017/565).
- Articles 321-36 du RG AMF : « La SGP veille à ce que ses dirigeants reçoivent, de manière fréquente et
au moins une fois par an, des rapports sur la conformité, le contrôle des risques et le contrôle périodique
indiquant en particulier si des mesures appropriées ont été prises en cas de défaillances. » (et les articles
60 (4) du RD n°231/2013 et 22 (2) (c) du RD n°2017/565).

Bonnes pratiques
- Faire valider la stratégie de cybersécurité de la SGP (et ses évolutions successives) par l’un des
dirigeants responsables.
- Assurer un « reporting » régulier relatif aux risques d’origine cyber auprès des dirigeants responsables
de la SGP 56.
- Préciser et différencier les responsabilités respectives de la fonction en charge des SI par rapport à celle
en charge de la cybersécurité dans des fiches de poste dédiées.
- Assurer l’indépendance de la fonction en charge de la cybersécurité par rapport à celle en charge du
pilotage du SI 57.

54 Ces dépenses couvrent notamment les coûts liés aux audits techniques (tests d’intrusion), aux outils de défense/de surveillance/d’analyse
des menaces, aux activités de veille, aux formations de sensibilisations aux risques d’origine cyber (ex : campagne de communications
internes, formations dédiées en présentiel, quizz en ligne, tests de « phishing ») et aux assurances contre les risques d’origine cyber.
55 Ces dépenses couvrent notamment les coûts liés à l’infogérance, aux licences d’utilisation des logiciels externes, à l’accès à internet, aux
prestations de conseil en informatique et aux achats de matériel informatique.
56 Une mauvaise pratique avait été constatée sur ce thème lors de la campagne SPOT cybersécurité menée en 2020.
57 Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.

18/40
 - Formaliser et maintenir à jour un inventaire lisible des équipements informatiques utilisés précisant le
statut de chacun (ex : actif, rebus) ainsi qu’une affectation nominative (ou un lieu de stockage sécurisé)
pour chacun d’eux 58.
- Permettre l’identification respective du budget et des dépenses liés à la cybersécurité au sein du
budget et des dépenses informatiques globaux 59.
- Dans le cadre d’une activité de capital-investissement, inclure systématiquement aux « due diligences »
précédant l’investissement dans une société-cible un audit technique cyber du SI de cette dernière.
- Sensibiliser régulièrement les collaborateurs de la SGP aux risques de cybersécurité, notamment via
l’usage de tests de « phishing » 60.
- Encadrer les processus d’accès à distance par les collaborateurs au SI de la SGP par des contrôles à la
fois préventifs et détectifs 61.

Mauvaises pratiques
- Ne protéger la messagerie professionnelle ni par une double authentification, ni par le chiffrement des
courriels.
- Ne pas assurer le blocage des ports USB des postes utilisateurs 62.
- Permettre aux utilisateurs d’être administrateurs de leurs postes de travail 63.
- Maintenir des postes de travail (utilisateurs ou administrateurs) non chiffrés 64.
- Maintenir des règles de construction des mots de passe non conformes aux critères de l’ANSSI 65.

5.2. Cartographie et corps procédural relatifs au dispositif général de

cybersécurité

5.2.1. Cartographie des données et des systèmes sensibles

L’ensemble des SGP du panel ont formalisé une cartographie technique de l’architecture globale de leur SI, incluant
le réseau et les serveurs, ainsi qu’une cartographie applicative affectant à chaque application un niveau de criticité.
L’évaluation de cette criticité prend en compte les risques réglementaires, d’impact client, de rupture de la
continuité d’activité ainsi que le niveau de sensibilité des données hébergées. Pour les SGP n°1 et 3, ces
cartographies sont complétées par un dossier d’architecture technique à jour établi par l’administrateur
informatique précisant le mode de fonctionnement du réseau, des serveurs ainsi que du système de messagerie
et de sauvegarde. Ce dossier détaille également le processus de supervision opéré par l’administrateur.

En revanche, ce dispositif ne s’appuie sur une cartographie des données sensibles que pour 3 SGP sur 5 (n°1, 3 et
4). Les cartographies des données collectées listent les principaux types de données retraitées par le SI de la SGP
en les classifiant en différentes catégories selon un niveau de sensibilité croissant (par exemple : « publique »,
« interne », « confidentielle » ou « strictement confidentielle »). La cartographie de la SGP n°3 fournit également,
pour chaque donnée, le besoin associé, le niveau d’intégrité requis (bas, moyen, élevé), le niveau d’authentification
en vigueur (forte dans tous les cas), le service propriétaire de la donnée, les possibilités d’accès via un compte
externe à l’entreprise, le délai maximum toléré d’inaccessibilité, ainsi que la période de rétention. L’absence d’une
telle cartographie, constatée au sein des SGP n°2 et 5, est de nature à obérer l’efficacité du dispositif de
cybersécurité en le conduisant à omettre de protéger certaines zones potentiellement sensibles du SI.

58
Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.
59 Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.
60 Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.
61
Bonne pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
62 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2019.
63 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
64 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
65
Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020. Les critères de l’ANSSI sont
disponibles via : https://www.ssi.gouv.fr/administration/precautions-elementaires/calculer-la-force-dun-mot-de-passe/

19/40
 5.2.2. Corps procédural relatif au dispositif général de cybersécurité

Le corps procédural relatif au dispositif général de cybersécurité des 5 SGP du panel est présenté dans le tableau suivant.

Existence de
politiques/procédures
rôle SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
opérationnelles et à
jour
Présente les règles, principes 66 et OUI
Politique générale de OUI PARTIELLE
responsabilités en termes de cybersécurité. OUI (incluse dans la charte OUI
sécurité des SI (PSSI) (politique groupe) (lapidaire)
d’usage du SI)
Décline de manière opérationnelle les PARTIELLE
mesures de sécurité en place au vu des (ne décrit pas les
Procédure de risques identifiés, précise la stratégie de contrôles de 1er, 2e et PARTIELLE
OUI NON OUI
cybersécurité sensibilisation des collaborateurs et de 3ex niveaux actifs sur le (lapidaire)
réalisation des audits de sécurité. dispositif de
cybersécurité)
Précise les modalités d’octroi / de PARTIELLE
Procédure de gestion modification / de retrait de droits d’accès au (limitée aux
OUI NON NON OUI
des accès logiques au SI SI en fonction des mouvements de utilisateurs à hauts
personnel. privilèges)
Fournit les exigences standards de sécurité
imposées aux collaborateurs dans le cadre PARTIELLE
de l’usage des moyens informatiques de (quelques règles
Charte d’usage des l’entreprise. d’usage du SI de la
OUI NON OUI OUI
moyens informatiques Précise les moyens de contrôle dont dispose SGP sont inscrites
le service informatique 67 ainsi que les dans son code de
sanctions encourues en cas d’usage déontologie)
inadéquat du SI de la SGP.
Fournit notamment les exigences standards
de sécurité imposées aux collaborateurs
Charte du télétravail dans le cadre de l’usage des moyens OUI NON NON NON NON
informatiques de l’entreprise en situation
de télétravail 68.

66
Ces règles et ces principes couvrent notamment les thèmes suivants : gestion des actifs, sécurité des réseaux, gestion des accès, règles d’exploitation, développement des applications, gestion des
vulnérabilités, gestion des incidents de sécurité, continuité d’activité et relation avec les tierces parties.
67 En termes par exemple de filtrage des sites internet accessibles et de suivi des activités des utilisateurs dans le SI via des fichiers « logs ».
68
Par exemple, l’usage obligatoire du matériel professionnel, la mise en place d’une double authentification pour accéder à distance au SI de la SGP et l’utilisation systématique d’un réseau privé virtuel
sécurisé (« virtual private network » ou « VPN ») pour travailler à distance.

Document « INTERNE » - Ne pas diffuser en dehors de l’AMF 20/40

 Rappels réglementaires
- Articles 321-24 du RG AMF : cf. supra (et les articles 57 (2) du RD n°231/2013 et 21 (2) du RD
n°2017/565).
- Articles 321-30 du RG AMF : « La SGP établit et maintient opérationnelles des politiques, procédures et
mesures adéquates visant à détecter tout risque de non-conformité aux obligations professionnelles
mentionnées au II de l'article L. 621-15 du code monétaire et financier ainsi que les risques en découlant
et à minimiser ces risques. Pour l'application de l'alinéa précédent, la SGP tient compte de la nature, de
l'importance, de la complexité et de la diversité des activités qu'elle exerce » (et les articles 61 (1) du
RD n°231/2013 et 22 (1) du RD n°2017/565).

Bonne pratique
- Compléter les cartographies internes du SI d’un dossier d’architecture technique explicitant
notamment le processus de supervision opéré par l’administrateur sur le réseau, les serveurs, la
messagerie et le système de sauvegardes.

Mauvaises pratiques
- Réduire la cartographie des données sensibles à une classification des principaux types de données par
niveau de sensibilité croissant, en omettant notamment le besoin associé, le niveau d’intégrité requis,
le niveau d’authentification en vigueur, le service propriétaire de la donnée, les possibilités d’accès via
un compte externe à l’entreprise, le délai maximum toléré d’inaccessibilité, ainsi que la période de
rétention.
- Limiter les procédures de sécurité des systèmes d’information à l’énumération de principes
génériques 69.

5.3. Sélection, contractualisation et contrôle de premier niveau des

prestataires informatiques et des autres partenaires

5.3.1. Cartographie des prestataires informatiques et autres partenaires

 Cartographie des prestataires informatiques sensibles

Quatre des 5 SGP du panel ont formalisé une cartographie exhaustive des prestataires informatiques avec
lesquelles elles sont en relation d’affaires, en y incluant une analyse des risques associés aux services rendus. La
cartographie fournie par la SGP n°2 omet plusieurs éditeurs d’applications clés pourtant mentionnées dans la
cartographie applicative 70.

Le parc applicatif de 4 des 5 SGP du panel est intégralement constitué d’applications externes 71. Cette proportion
est moindre (30 %) pour la SGP n°5 qui est celle disposant de l’équipe informatique la plus fournie 72. Ces
applications externes sont majoritairement fournies en mode SaaS 73. Cela concerne en effet entre 80 à 100 % du
parc externe des SGP n°1 à 4 (contre 30 % du parc externe de la SGP n°5 74).

69 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
70
À savoir les éditeurs respectifs des applications utilisées pour la passation des ordres, la gestion de la relation clients, et l’environnement
bureautique (incluant la messagerie ainsi que le stockage et le partage de documents).
71 C’est-à-dire non développée par la SGP en interne (les applications mises à disposition par l’éventuel groupe d’appartenance ont été
considérées dans ce document comme des applications externes).
72 Cf. section 5.1.1 supra.
73 Cf. lexique. Les installations physiques du fournisseur sont majoritairement hébergées en Union européenne.
74 Les applications qui ne sont fournies en mode SaaS sont hébergées « on-premise » c’est-à-dire sur les installations informatiques physiques
(serveur) propres à la SGP.

Document « INTERNE » - Ne pas diffuser en dehors de l’AMF 21/40

Le tableau suivant présente les niveaux de risque attribués, par les SGP du panel, aux principaux prestataires
cartographiés. Les fournisseurs de services informatiques en nuage (cloud service providers 75) y sont identifiés par
la mention [CSP].

Niveau de
risque par SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
fonction
Liste des principaux prestataires informatiques (autres que les éditeurs applicatifs)
Infogérant 76 Critique Critique Elevé Critique Elevé
N/A Critique Critique
Hébergeur Non évalué
(interne) N/A [CSP] [CSP] 77
Sécurité (interne groupe)
Non évalué 78 Critique 79 Critique 80 N/A
informatique
Liste des principaux éditeurs informatiques externes 81 avec qui la SGP est en relation
N/A
Passation des N/A (capital- Non évalué Elevé Elevé
(développement
ordres (OMS 82) investissement) [CSP] [CSP] [CSP]
interne)
Gestion de N/A
Elevé 85
portefeuilles Critique Elevé 84 Elevé (développement
[CSP]
(PMS 83) interne)
CRM 86 gestion Elevé Elevé Moyen Critique
Elevé
collective [CSP] [CSP] [CSP] [CSP]
Faible Moyen 87 Critique 88
CRM GSM N/A Elevé
[CSP] [CSP] [CSP]
Gestion de Elevé 90
Critique 89 N/A N/A N/A
données [CSP]
Plateforme de N/A
Elevé
souscription en N/A N/A N/A (développement
[CSP]
ligne interne)
Environnement
bureautique
(dont Critique Faible Elevé Elevé Elevé
messagerie et [CSP] [CSP] [CSP] [CSP] [CSP]
partage de
documents)

La lecture de ce tableau permet de constater que l’exercice d’évaluation du niveau de risque a été mené de
manière vertueuse par les SGP du panel. Cet exercice a en effet couvert la majorité des prestataires informatiques

75 Cf. lexique (CSP).

76 Cf. lexique.
77
Solution utilisée pour la sauvegarde des données du domaine applicatif (développée en interne par la DSI de la SGP).
78 La SGP n°1 a bénéficié d’une prestation externe de RSSI (à raison de 1 jour par mois) entre juin 2022 et mars 2023.
79 Il s’agit du même prestataire que celui qui assure l’infogérance.
80 Il s’agit du même prestataire que celui qui assure l’infogérance.
81 Cette liste inclut les principales applications métier sensibles achetées à l’extérieur par la SGP. Elle exclut notamment les outils externes
relatifs au contrôle des abus de marché et des risques de blanchiment (notamment les outils de « screening » par rapport aux listes de
sanctions internationales – de type World Check – et les outils de stockage des dossiers de connaissance des clients et des fournisseurs),
au suivi des contraintes financières/extra-financières, à la fourniture de données financières/extra-financières, au « reporting » des
résultats des contrôles de niveau 2/3 adressé au groupe, au suivi des contraintes réglementaires des portefeuilles, à la téléphonie et aux
visioconférences (ex : Zoom), à la gestion RH (congés, absences, évaluations annuelles, notes de frais), au suivi des relations avec les
fournisseurs, à la communication/marketing,
82 Order management system.
83
Portfolio management system.
84 Hébergée sur le serveur local de la SGP jusqu’en novembre 2022.
85 Il s’agit du même éditeur que celui de l’OMS
86 Cf. lexique.
87 Il s’agit du même éditeur que celui de l’outil de CRM pour la gestion collective.
88 Il s’agit du même éditeur que celui de l’outil de CRM pour la gestion collective.
89 Outil spécifique à l’activité de capital-investissement (« dataroom »)
90 « Enterprise data management » (EDM)

22/40
clés. Trois oublis seulement sont constatés pour les SGP n°1 (s’agissant de l’hébergeur et du prestataire de sécurité
informatique) et n°2 (s’agissant de l’OMS). De plus, il a été mené de manière cohérente entre les SGP, les niveaux
de risque affectés aux fonctions décrites s’avérant relativement homogènes d’une SGP à l’autre. À titre d’exemple,
le niveau de risque associé au prestataire externe en charge de l’infogérance du SI est évalué comme « critique »
pour 3 SGP sur 5 et « élevé » pour les 2 autres SGP 91. Enfin, cet exercice n’a pas conduit à affecter des niveaux de
risque identiques à l’ensemble des fonctions testées, ce qui traduit une approche différenciante adaptée.

Les prestations les plus critiques ne sont cependant pas systématiquement les plus coûteuses sur le panel
analysé, comme le montre le classement des 3 prestataires externes les plus coûteux établi infra.

Montant versé par la

SGP par prestataire par
rapport au montant
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
global versé sur la
période sous contrôle
(%)
Éditeur de l’outil
Prestataire le plus Infogérant Éditeur du PMS Infogérant Éditeur du PMS de CRM gestion
coûteux n°1/3 (64,2 %) (84,4 %) (68 %) (33,6 %) collective + GSM
(23,1 %)
Éditeur de l’outil
Infogérant + sécurité Éditeur de
Prestataire le plus de CRM gestion Hébergeur Hébergeur
informatique l’OMS/PMS
coûteux n°2/3 collective (28,3 %) (18,4 %)
(15,5 %) (31,2 %)
(21,6 %)
Éditeur de la
plateforme de Éditeur de l’outil Éditeur de
Prestataire le plus Infogérant
souscription en NS 92 de CRM GC+GSM l’OMS
coûteux n°3/3 (4,7 %)
ligne (0,6 %) (20,6 %)
(9,8 %)

Si le tableau supra révèle des écarts importants de coûts entre les SGP pour une même prestation (l’outil de CRM
de la SGP n°5 représente 23,1 % des montants versés sur la période sous contrôle contre 0,6 % pour la SGP n°3), il
permet de dégager une tendance par typologie de prestataires, à savoir que, de manière consolidée, les coûts
versés aux éditeurs d’applications ne dépassent que légèrement (44,98 % 93 en moyenne du total versé sur la
période sous contrôle) ceux versés aux prestataires informatiques non applicatifs (39,82 % 94). Ce sont en effet les
éditeurs applicatifs qui ont représenté les montants versés les plus importants pour les SGP n°2 et 4 (pour des
outils « cœur de métier »). À l’inverse, le coût relatif aux prestations de services non applicatives (infogérance,
hébergement, sécurité) est prédominant au sein des SGP n°1 et 3. Enfin, l’équilibre des coûts entre ces deux types
de prestataires est constaté pour la SGP n°5 95.

 Déclaration à l’AMF des cloud service providers (CSP) 96 délivrant un service important ou critique
Les CSP représentent entre 37,5 % (pour les SGP n°1 et 4) et 60 % (pour la SGP n°5) des prestataires informatiques
sensibles des SGP du panel 97. 88 % de ces prestataires sont des éditeurs applicatifs contre 12 % d’hébergeurs.

91 La seule exception constatée dans ce cadre concerne la SGP n°2 qui évalue le niveau de risque associé à son environnement bureautique
comme faible à rebours des 4 autres SGP du panel.
92 Non significatif.
93 Obtenu par calcul de la moyenne dans le tableau supra des pourcentages correspondant aux éditeurs des outils de CRM, PMS, OMS et de
souscription en ligne.
94
Obtenu par calcul de la moyenne dans le tableau supra des pourcentages correspondant aux prestataires de services d’infogérance,
d’hébergement et de sécurité informatique.
95 L’outil de CRM représentant 23,1 % des versements sur la période sous contrôle contre 18,4 + 4,7 = 23,1 % également pour les versements
effectués auprès de l’hébergeur et de l’infogérant.
96
En lien avec l’orientation n°8 written notification to competent authority de l’ESMA (référence : 50-157-2403) relative à l’externalisation
de services auprès des prestataires informatiques en nuage (https://www.esma.europa.eu/document/final-report-guidelines-outsourcing-
cloud-service-providers )
97 Le ratio s’élève à 44,4 % pour la SGP n°3 et à 57,1 % pour la SGP n°2. Il a été calculé en prenant au dénominateur le volume total de
prestataires cartographiés dans le premier tableau de la section 5.3.1 supra, déduction faite (par SGP) des acteurs marqués « N/A ». Les
prestataires répondant à deux fonctions distinctes (ex : OMS/PMS de la SGP n°3) n’ont été comptabilisés qu’une fois au numérateur.

23/40
L’ensemble des SGP du panel ont déclaré formellement à l’AMF, entre novembre 2020 et février 2023, les CSP avec
lesquelles elles se trouvent en relation d’affaires. Un seul CSP a été omis dans sa déclaration par la SGP n°3 : il s’agit
d’un outil interne de gestion et de visualisation des données relatives aux fonds gérés (frais, performance,
porteurs), bien qu’il ait été :
- acquis en 2015, c’est-à-dire antérieurement aux dates des déclarations faites ;
- évalué comme « important » par la SGP.

 Cartographie des échanges dématérialisés actifs avec les autres partenaires

Outre la cartographie des prestataires informatiques sensibles traitée dans la section précédente, le travail
préliminaire au déploiement d’un dispositif de cybersécurité robuste passe également par la cartographie des
interactions informatiques actives avec les principaux autres partenaires de la SGP.
Les canaux de communication informatiques établis avec ces acteurs sont en effet utilisés de manière fréquente
pour échanger des informations et des documents sensibles.

Dans ce cadre, les contrôles menés ont permis de constater la formalisation effective (et le maintien à jour) d’une
telle cartographie par l’ensemble des SGP du panel. Cette cartographie est censée préciser, par partenaire, les
principaux canaux informatiques de communication utilisés, les principaux types de données/documents
échangés 98 et le niveau de risque associé à un piratage éventuel de ce canal. Une représentation consolidée de ces
cartographies est proposée infra 99.

98 Par exemple, le détail des positions des fonds (échangé avec le dépositaire), le détail des ordres et des frais par fonds (échangé avec le
valorisateur), le détail des opérations sur titres (OST), le détail des frais de GSM et les informations relatives aux clients des mandats
(échangés avec le TCC) et détail des rétrocessions (avec les distributeurs).
99
Le code couleur utilisé dans le tableau pour désigner les niveaux de risque évalués par les SGP est identique à celui employé plus haut pour
les prestataires informatiques.

24/40
 Nombre de
autres
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
partenaires
(canal utilisé)
1
1 1 1
Dépositaire des 3 (courriels chiffrés 100 accessibles par
(courriels non chiffrés (courriels non chiffrés (courriels non chiffrés
fonds (courriels non chiffrés) double authentification et portail
et portail dédié) et portail dédié) et portail dédié)
dédié)
1
1 1 1 1 (courriels chiffrés accessibles par
Valorisateur des
(courriels non chiffrés (courriels non chiffrés (courriels non chiffrés (courriels non chiffrés double authentification et portail
fonds
et portail dédié) et portail dédié) et portail dédié) et portail dédié) dédié accessible sans double
authentification)
1
(courriels non chiffrés
2 et portail dédié) 1
TCC N/A 101 N/A
(portails dédiés) 2 (idem dépositaire)
(courriels non chiffrés
et portail dédié)
1
2 1 1 1
CAC de la SGP (courriels non chiffrés
(portails dédiés) (portail dédié) (portail dédié) (idem dépositaire)
et canaux chiffrés)
2 1
(portails dédiés) (courriels non chiffrés) 1 1 1
CAC des fonds
1 1 (portail dédié) (portail dédié) (idem dépositaire)
(courriels non chiffrés) (portail dédié)
Apporteur 1
néant néant néant néant
d’affaires (portail dédié)
1
Principaux 1 1 2
N/A (courriels non chiffrés
distributeurs (Non précisé) (Non précisé) (idem dépositaire)
et portail dédié)

100
Le chiffrement couvre également les pièces jointes aux emails envoyés.
101 Non applicable.

Document « INTERNE » - Ne pas diffuser en dehors de l’AMF 25/40

La lecture de ce tableau permet de constater que l’exercice de cartographie n’est pas doublé d’une évaluation
suffisante des niveaux de risque associés aux canaux utilisés. Seules les SGP n°2 et 4 ont en effet mené un tel
exercice, encore que de manière très incomplète, car limitée au trio {dépositaire ; valorisateur ; TCC} et, pour la
SGP n°4, en omettant son principal distributeur.
De plus, les vulnérabilités structurelles (signalées dans le tableau en gras souligné) associées à l’emploi de courriels
non chiffrés 102 ou de plateforme ne proposant pas la double authentification n’ont pas été prises en compte dans
cet exercice. À titre d’exemple, la SGP n°2 a évalué comme « moyen » le risque d’attaque d’origine cyber sur le
canal d’échange en place avec son dépositaire et son valorisateur alors que des courriels non chiffrés sont
employés dans le cadre de ces échanges.

Les SGP du panel ont souhaité atténuer la portée de ce constat en signalant à la mission de contrôle que les canaux
de communication non sécurisés étaient systématiquement doublés de canaux sécurisés utilisés de manière
prioritaire dans le cadre d’échanges d’informations sensibles avec les partenaires concernés. Par exemple, les SGP
n°1 et 4 ont indiqué utiliser, dans le cadre de leurs échanges avec leur valorisateur :
• la plateforme sécurisée pour les communications relatives aux états comptables des fonds et pour la
validation des valeurs liquidatives ;
• les courriels pour les échanges relatifs aux justificatifs d’investissement et de cession et aux fichiers de
valorisation.
Outre que cette segmentation ne soit pas toujours possible 103, elle n’est de plus pas formalisée dans la cartographie
des données sensibles des SGP concernées. Ces dernières ne disposent pas des moyens de supervision et de
contrôle leur permettant de vérifier l’usage systématique, par leur collaborateur, du canal approprié en fonction
du niveau de sensibilité des informations échangées.

5.3.2. Corps procédural relatif aux prestataires informatiques et aux autres

partenaires (sélection, contractualisation, contrôle de premier niveau)

L’ensemble des SGP du panel ont formalisé et maintenu à jour une procédure opérationnelle encadrant l’entrée
en relation avec un prestataire de service essentiel, l’étape de contractualisation et le suivi (contrôle de premier
niveau) des services rendus. Cette procédure couvre notamment les prestataires de services informatiques et les
autres partenaires. Elle rappelle les exigences réglementaires applicables 104 et précise les fonctions essentielles
externalisées, parmi lesquelles celles citées en section 5.3.1 supra.

Les procédures consultées incluent des critères généraux de sélection et de contrôle de premier niveau des
prestataires/partenaires. Ces critères ciblent notamment :
• l’adéquation entre le service proposé et le besoin (compétences techniques, disponibilité, réactivité) ;
• la notoriété du candidat (recommandations externes, relations antérieures) ;
• l’absence de conflits d’intérêts entre la SGP et le candidat ;
• le droit de contrôle par la SGP de la prestation (et de résiliation du contrat) ;
• le respect par le prestataire des règles auxquelles les SGP sont soumises en termes d’externalisation 105 ;
• la conformité RGPD du prestataire ;
• le rapport qualité/prix.

En revanche, la proportion de SGP ayant inclus dans les critères cités la qualité des dispositifs de cybersécurité
et de continuité d’activité des candidats est minoritaire : elle ne concerne que 2 SGP sur 5. Ainsi :

102 Signalé en section 5.1.1 supra.

103 Par exemple, les échanges entre les SGP n°1 et 2 et l’un des CAC des fonds ne peuvent se dérouler que via courriels non chiffrés.
104 À savoir notamment que la SGP reste pleinement responsable du respect de toutes ses obligations professionnelles et que le recours à un
prestataire pour une fonction importante ou critique ne doit pas être faite de manière qui nuise sensiblement à la qualité du contrôle
interne et qui empêcherait l'AMF de contrôler que la SGP respecte bien toutes ses obligations.
105 Incluant l’assurance de coopération avec l'AMF.

Document « INTERNE » - Ne pas diffuser en dehors de l’AMF 26/40

 • les SGP n°2, 3 et 5 ne prennent pas en compte le dispositif de cybersécurité des candidats lors du
processus de sélection ;
• les SGP n°1, 3 et 5 ne prennent pas en compte le dispositif de continuité d’activité dans le cadre de ce
processus.

Enfin, aucune des 5 SGP n’a formalisé dans sa procédure de critères spécifiques à la sélection des fournisseurs
de services informatiques en nuage 106 (cloud outsourcing strategy). Des prémices de prise en compte de tels
critères ont été constatés dans les procédures de 2 SGP. La procédure de la SGP n°4 met effectivement en exergue
3 critères explicitement associés à la sélection des CSP (droit d’accès aux données, droit d’audit et information
quant à la localisation géographique des données externalisées) et fait référence aux orientations de l’ESMA. Celle
de la SGP n°5 inclut un lien vers le registre des CSP et confirme l’obligation de déclaration à l’AMF de ce type de
prestataire.

 Phase de sélection
La formalisation de la phase de sélection est prévue par la procédure de l’ensemble des SGP via un questionnaire
dédié pour les SGP n°1, 2 et 3, une fiche de cadrage pour la SGP n°4 et une fiche de sélection pour la SGP n°5. Mais
seule cette dernière formalise (et prévoit explicitement dans sa procédure) la mise en concurrence des candidats
répondant aux besoins exprimés.

La formalisation de la phase de sélection des prestataires/partenaires inclut une vérification de l’existence des
conflits d’intérêts potentiels entre les candidats et la SGP. Le risque associé est pris en compte dans la cartographie
des conflits d’intérêts des 5 SGP du panel. Aucun conflit d’intérêts avérés n’a d’ailleurs été identifié par la mission
de contrôle au cours des investigations, pas plus que dans le registre ad hoc des SGP du panel.

Une fois la phase de sélection achevée, le candidat retenu fait l’objet d’un dossier de connaissance du
fournisseur 107 dont les pièces constitutives 108 sont listées dans la procédure citée en début de section 5.3.2 supra
(ou dans la procédure de LCB/FT 109) de la SGP, par type de prestataire. La mission de contrôle a vérifié la matérialité
effective de ce dossier via un test opéré sur un échantillon de fournisseurs sensibles.

 Phase de contractualisation
Le corps procédural des 5 SGP du panel indique que toute externalisation de service auprès d’un prestataire
informatique ou d’un autre partenaire doit faire l’objet de la signature d’un contrat. Ce corps procédural liste les
clauses que chaque contrat doit contenir. Outre les informations contractuelles standards 110, 4 des 5 SGP
contrôlées ont formalisé plusieurs clauses relatives à la qualité des dispositifs de cybersécurité et de continuité
d’activité des services rendus (cohérentes, en ce qui concerne les CSP importants ou critiques, avec l’orientation
n°3 contractual provisions de l’ESMA) :
• autorisation (et conditions d’exécution) d’une éventuelle sous-traitance de la prestation ;
• informations relatives à la localisation géographique des serveurs du prestataire ;
• droit d’audit de la prestation (par la SGP) ;
• conditions de protection des informations confidentielles (incluant les données personnelles) ;
• modalités d'information de la SGP en cas de dysfonctionnement ;

106 En lien avec l’orientation n°2 (Pre-outsourcing analysis and due diligence) et 4 (Information security) de l’ESMA (référence : 50-157-2403)
relatives à l’externalisation de services auprès des prestataires informatiques en nuage (https://www.esma.europa.eu/document/final-
report-guidelines-outsourcing-cloud-service-providers)
107 Appelé KYS dans les procédures consultées pour know your supplier.
108
Liste non exhaustive des principales pièces constitutives du dossier de KYS : Kbis de moins de 3 mois, justificatif d’identité pour chaque
dirigeant, déclaration des bénéficiaires effectifs, justificatif d’identité de chaque bénéficiaire effectif, justificatif d’inscription à l’ORIAS (pour
les intermédiaires de commercialisation), statuts, pouvoir de signatures, procédure de lutte contre le blanchiment et le financement du
terrorisme ou lettre d'engagement à respecter la législation dans ce domaine, procédure PCA, politique de prévention et de gestion des
conflits d'intérêts.
109 Lutte contre le blanchiment et le financement du terrorisme.
110 À savoir l’objet de la prestation, les dates de début et de fin de l’accord, le délai de préavis, les rôles/responsabilités/obligations financières
des cocontractants, les lieux/pays où la prestation est effectuée et la législation applicable.

27/40
 • plan d'urgence permettant le rétablissement du service externalisé en cas de sinistre ;
• faculté pour la SGP (et son autorité de tutelle) d’accéder aux données externalisées sauvegardées et aux
locaux professionnels du prestataire ;
• réversibilité 111 de la prestation (modalités et conditions de résiliation du contrat d’externalisation).

Seule la SGP n°2 n’a pas inclus dans son corps procédural la liste des clauses précédentes.

 Phase de contrôle de premier niveau des services externalisés

Le corps procédural de 4 des 5 SGP du panel précise de manière opérationnelle les modalités de contrôle de
premier niveau des services essentiels externalisés. Ces modalités incluent la fréquence 112, la responsabilité 113 et
les méthodes de revue ainsi que le dispositif de réaction aux anomalies. Ces modalités ne sont en revanche pas
décrites de manière précise dans le corps procédural de la SGP n°2.

Le corps procédural des 5 SGP du panel précise que le contrôle de premier niveau des services externalisés doit
faire l’objet d’une formalisation. Cette formalisation prend la forme d’une grille de questions ciblant des critères
similaires à ceux pris en compte lors de la phase de sélection 114. Les SGP n°1 et 2 se distinguent en incluant dans
leur pratique d’évaluation la collecte :
• pour les SGP n°1 et 2, de rapports ciblant l’existence et l’efficacité du dispositif de contrôle interne de
l’acteur évalué (System and Organization Controls (SOC) Reports correspondant au standard ISAE
3402 115) ;
• pour la SGP n°2 : de la politique RSE 116 des prestataires/partenaires évalués.

La proportion de SGP du panel à avoir inclus dans leur dispositif de contrôle de premier niveau des
prestataires/partenaires une revue du dispositif de cybersécurité et du dispositif de continuité d’activité de ces
acteurs est majoritaire (3 sur 5). La SGP n°4 ne prend pas en compte le premier dispositif et la SGP n°5 ne prend en
compte aucun de ces deux dispositifs.

Les contrôles de premier niveau débouchant sur la cessation des relations contractuelles entre les SGP du panel
et les prestataires/partenaires sont rares, comme en témoigne les taux de rotation 117 de ces acteurs constatés
sur la période sous contrôle.

Taux de rotation moyen constaté

SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
sur la période sous contrôle
Prestataires informatiques importants ou critiques 13 % - 3,6 % 4,5 % -
Principaux autres partenaires - 4,1 % 9,4 % 37,5 % -

Le taux le plus élevé constaté (37,5 % s’agissant des principaux autres partenaires de la SGP n°4) est dû à l’arrêt
des relations avec 2 dépositaires et 1 valorisateur à la suite de la liquidation des fonds qui étaient déposés dans
leurs livres.

111 Cf. lexique.

112 Annuelle pour les SGP n°1, 2, 4 et 5, triennale pour la SGP n°3. Les procédures consultées prévoient également la réalisation d’une revue
ponctuelle à chaque fois qu’un événement le justifie, par exemple en cas de changement majeur (chez le prestataire/partenaire)
d’actionnaire, de structure, d’équipe, de systèmes, de coûts, ou encore de dégradation de la qualité de l’exécution, de la réputation ou des
mécanismes permettant une résolution des erreurs et des problèmes éventuels.
113 (qui échoit aux collaborateurs métier utilisateurs direct)
114 Cf. sous-section dédiée supra. Il s’agit de critères relatifs notamment à la qualité constatée de la prestation (performance opérationnelle),
à la disponibilité, à la réactivité et à la pérennité du prestataire.
115
International Standard on Assurance Engagements n°3402 : standard mis en place le 15 juin 2011 permettant aux utilisateurs de prestations
externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services. Ce standard a
été développé par l’AICPA (American Institute of Certified Public Accountants). Il propose deux types de niveaux de contrôle. Le rapport de
type I cible l’attestation de l’existence d’un contrôle interne adapté. Le rapport de type II cible l’attestation de l’efficacité du contrôle
interne.
116 Responsabilité sociale et environnementale.
117 Il s’agit du nombre de prestataires/partenaires ayant été remplacés sur la période sous contrôle divisé par le nombre total de
prestataires/partenaires actifs sur la même période.

28/40
S’agissant des CSP, 3 SGP du panel n’ont pas formalisé de stratégie globale de sortie (exit strategy) 118 incluant :
• des critères objectifs pouvant conduire à la cessation de la relation contractuelle 119 ;
• un plan de récupération ou de destruction des données de la SGP collectées par le prestataire (réversibilité
contractuelle) ;
• une estimation des impacts pour le SI de la SGP de la cessation de la relation avec le prestataire ;
• un plan de communication interne/externe à suivre en cas de cessation de cette relation.

Cette stratégie de sortie n’a été qu’ébauchée par les SGP n°3 et 5. La première l’a limité à son hébergeur
informatique (migré vers un service cloud en 2020) et le seconde ne fait que l’évoquer (sans la décrire) dans sa
procédure de sélection et de contrôle des prestations externalisées.

5.3.3. Tests réalisés par la mission de contrôle

Afin de vérifier l’application de la procédure relative à la sélection et à la contractualisation avec les prestataires
informatiques et les autres partenaires, et au contrôle de premier niveau de ces derniers, la mission de contrôle a
réalisé un test.

Ce test s’est appuyé sur un échantillon de 6 à 10 prestataires/partenaires par SGP, tel que présenté dans le tableau
suivant.

Échantillon
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
de test
taille 8 6 8 9 10
3 2 5 3 4
Prestataires Infogérant
Infogérant
informatiques Infogérant Hébergeur [CSP] Infogérant
Infogérant Hébergeur [CSP]
de CRM [CSP] Bureautique [CSP] Hébergeur [CSP]
PMS Bureautique [CSP]
l’échantillon Souscription [CSP] Gestion données [CSP] OMS [CSP]
CRM [CSP]
CRM [CSP]
5 4 3 6 6
Dépositaire Dépositaire
Autres Dépositaire
Dépositaire/valorisateur Valorisateur Valorisateur
partenaires Valorisateur Dépositaire/valorisateur
TCC CAC fonds/SGP TCC
de CAC des fonds CAC fonds/SGP
CAC des fonds TCC n°1 CAC des fonds
l’échantillon CAC de la SGP Distributeur
CAC de la SGP TCC n°2 CAC SGP
Apporteur d’affaires
Distributeur Distributeur

Les résultats du test mené sur les 3 phases du processus sont présentés en annexe.

 Conclusion consolidée du test (pour les 3 phases du processus)

Taux d’anomalies constatés SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Phase de sélection
Prestataires informatiques 33 % 100 % 40 % 100 % 100 %
Autres partenaires 80 % 100 % 100 % 100 % 100 %
Phase de contractualisation
Prestataires informatiques 0% 11 % 0% 71,4 % 28,5 %
Autres partenaires 65 % 32 % 71,4 % 59,5 % 33 %
Phase de contrôle de 1er niveau
Prestataires informatiques 0% 50 % 20 % 100 % 0%
Autres partenaires 0% 75 % 33 % 100 % 33 %

118 Tel que requis par l’orientation n°5 de l’ESMA : exit strategies (référence : 50-157-2403 : https://www.esma.europa.eu/document/final-
report-guidelines-outsourcing-cloud-service-providers )
119 Par exemple, le non-respect des mesures convenues de sécurité informatique et des besoins métier initialement exprimés.

29/40
De manière générale, le test a conduit à constater une application opérationnelle très incomplète et hétérogène
de la procédure de sélection, contractualisation et contrôle de premier niveau des prestataires informatiques et
des autres partenaires. Les anomalies les plus nombreuses ont été identifiées pour la SGP n°4. La SGP n°1 est celle
en revanche qui en présente le moins. La prédominance des anomalies constatées sur le périmètre des autres
partenaires vient souligner la prise en compte insuffisante 120, dans le dispositif de supervision des risques des SGP
du panel, des canaux informatiques d’échanges actifs avec ces acteurs.

Parmi les trois phases testées, la phase de sélection est celle comportant le plus d’anomalies. Les SGP du panel
ont expliqué ces dernières par l’antériorité de la relation d’affaires avec les acteurs testés par rapport à l’entrée en
vigueur de la procédure de sélection. Néanmoins, ces relations d’affaires ne sont généralement pas antérieures à
la règlementation qui dispose que 121 « lorsque la SGP confie à un tiers l'exécution de tâches ou fonctions
opérationnelles essentielles ou importantes pour la fourniture d'un service ou l'exercice d'activités, elle prend des
mesures raisonnables pour éviter une aggravation indue du risque opérationnel » et que « L'externalisation de
tâches ou fonctions opérationnelles essentielles ou importantes ne doit pas être faite de manière qui nuise
sensiblement à la qualité du contrôle interne et qui empêche l'AMF de contrôler que la société de gestion de
portefeuille respecte bien toutes ses obligations ».

S’agissant de la phase de contractualisation, les SGP du panel ont souligné la difficulté à négocier des clauses telles
que le droit d’audit avec des éditeurs applicatifs de rayonnement mondial. En l’absence de ces clauses, la mission
de contrôle souligne que des modalités protéiformes de contrôle a posteriori restent néanmoins possibles et à la
main des SGP, afin d’affermir le pilotage sur les services externalisés rendus (par exemple : réunions ponctuelles
avec le prestataire, comités périodiques de suivi de la prestation, demandes d’informations par courriel adressées
au prestataire quant au dispositif de cybersécurité en place sur le périmètre des services rendus, formalisation
annuelle d’une grille d’évaluation de ces services ou délégation d’un audit technique sur les installations du
prestataire hébergeant les données de la SGP cliente).
En revanche, l’absence de plusieurs clauses importantes (gestion des incidents, cybersécurité, continuité d’activité)
dans les contrats signés avec les infogérants (domestiques) respectifs des SGP n°2, 4 et 5 pose question quant à la
capacité de ces SGP à contrôler efficacement les services rendus par ces acteurs névralgiques de leur SI, ainsi qu’à
pouvoir réagir efficacement en cas de difficultés opérationnelles rencontrées dans l’exécution du service. Sur le
périmètre des autres partenaires, l’absence de plusieurs des clauses testées dans les contrats signés avec les CAC
(des fonds et/ou de la société) a été justifiée par l’absence de telles clauses dans les modèles de contrat standards
utilisés par ce type d’acteur. La mission de contrôle souligne à ce propos que la négociation d’annexes ad hoc à ces
modèles de contrats pourrait constituer une réponse à cet argument, de telles annexes pouvant être justifiées par
la nature réglementée de l’activité des SGP.

S’agissant de la phase de contrôle de premier niveau, elle constitue la portion du processus dont le renforcement
par les SGP du panel pourrait s’avérer le plus rapide et le moins coûteux (puisque ne nécessitant pas de
renégociation contractuelle avec des prestataires / partenaires existants). La grande diversité (et la
complémentarité) des modalités d’évaluation constatées 122 sur le panel est un argument supplémentaire en faveur
d’une généralisation rapide de ce type d’évaluation.

5.3.4. Dispositif de gestion des incidents d’origine cyber

Dans cette section, on entend par « incident d’origine cyber » une attaque du système d’information d’une SGP
ayant conduit à la compromission de l’une au moins de ses 4 composantes clés, à savoir sa disponibilité, le respect
de l’intégrité et de la confidentialité des données qu’il héberge, et la conservation d’une piste d’audit fiable des
actions menées par les utilisateurs.

120 Déjà observée en section 5.3.1 supra.

121 Articles 321-93 (OPCVM) et 318-58 (FIA) du RG AMF.
122 Grilles d’évaluation, fiches de suivi de prestation ou de service review, tableaux de bord, procès-verbal de comité de pilotage de la
prestation, indicateurs de performance, tableaux de suivi des incidents ou collecte de rapport d’audit de sécurité fourni par le
prestataire/partenaire.

30/40
La proportion de SGP du panel disposant, de la part de leur infogérant externe, d’un service de surveillance et
de support en 24/7 est minoritaire. Elle ne concerne en effet que les SGP n°3 et 4. La SGP n°5 a justifié l’absence
d’astreinte en précisant que son infogérant externe ne couvrait que les postes de travail, le parc applicatif étant
soumis à un dispositif de surveillance automatique 24/7 incluant un mécanisme d’alerte auprès du DSI et du
responsable des infrastructures.

En revanche, 3 SGP (n°1, 4 et 5) ont formalisé un plan opérationnel de réponse en cas de cyberattaques. Ce plan
présente une classification des incidents de sécurité possibles, l’équipe en charge de la réponse à ce type
d’incidents, les étapes de réponse 123, les actions de communication associées (en interne et auprès des autorités,
dont l’AMF et la CNIL) et les possibilités négociées de faire appel à des experts cyber externes en appui de la gestion
de la crise ou du processus de résolution.

L’ensemble des SGP du panel dispose d’un registre 124 formel des incidents d’origine cyber subis ou bloqués par les
systèmes de défense (mis en place par les 5 SGP du panel). Seul le processus de collecte de la SGP n°5 (pourtant
doté d’une application informatique dédiée) ne permet pas de distinguer les incidents d’origine cyber 125 des
incidents informatiques au sein du registre consulté (le volume de ce type d’incident est donc mentionné comme
« non quantifiable » dans le tableau infra).

Enfin, le volume d’incidents d’origine cyber subis par les SGP sur la période sous contrôle demeure limité. Un seul
de ces incidents (subi par la SGP n°1) trouve sa source dans le service rendu par l’un des prestataires informatiques
(l’infogérant en l’occurrence).

Incidents
d’origine SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
cyber
Volume 2 6 2 54 Non quantifiable
Tentative (déjouée) de Tentatives de phishing Vol de 5 PC dans les Tentatives de N/A
Incidents
détournement de virement. (4). bureaux de la société. phishing ayant
de
conduit à la
sécurité
Coupure internet de 24h à la Fuite de données Tentative de phishing. publication sur
subis par
suite d’une attaque par déni internes de la SGP sur internet
la SGP sur
de service 126 ayant touché le réseau Linkedin. d’identifiants
la période
l’infrastructure réseau pilotée informatiques de
sous
par l’infogérant. Usurpation d’une collaborateurs.
contrôle
adresse e-mail.

5.3.5. Stratégie de continuité d’activité déployée au regard des services

externalisés
Les 5 SGP du panel bénéficient d’un dispositif de sauvegarde 127 de leurs données informatiques sensibles. Les
sauvegardes effectuées font l’objet de tests de restauration réguliers. En revanche, ce dispositif ne couvre pas
l’intégralité des données externalisées pour les SGP n°1 et 5 128.

De plus, 4 des 5 SGP du panel ont formalisé un plan de continuité des activités (PCA) comportant notamment un
annuaire des collaborateurs impliqués dans la stratégie de reprise d’activité, une liste des scenarios de rupture
potentielle d’activité incluant les attaques d’origine cyber, une analyse des impacts de ces scenarios par fonction
de l’entreprise, le délai maximal toléré d’interruption des applications selon leur niveau de criticité et un plan de

123
(identification, confinement, analyse, restauration, post-mortem (retour d’expérience)
124 Ce registre précise, pour chaque incident répertorié, la date de survenance, le prestataire ou partenaire éventuellement concerné,
l’évaluation du risque associé, la perte subie et le plan de remédiation enclenché.
125
L’incident d’origine cyber inclut une volonté de nuire (interne ou externe) usuellement absente de l’incident informatique (erreur de
manipulation ou panne système).
126 Cf. lexique.
127 https://www.ssi.gouv.fr/les-regles-dor-de-la-sauvegarde/
128
Les tests de restauration effectués sur la période sous contrôle ont en effet omis les données applicatives de la SGP n°1 et les données
bureautiques (messagerie professionnelle et répertoires partagés) de la SGP n°5.

31/40
réponse à chaque scenario qui inclut la solution de contournement et le délai souhaité de rétablissement des
services. Trois SGP (n°1, 2 et 3) ont réalisé un test formel régulier de ce PCA sur la période sous contrôle. Le dernier
test mené par la SGP n°5 sur son PCA datait de 2020.

En revanche, le PCA de la SGP n°4 s’avère obsolète dans sa description du processus courant de sauvegarde des
données. En outre, cette SGP n’a pas réalisé non plus de test formel régulier de ce PCA, considérant que le dispositif
de télétravail mis à disposition de l’ensemble de ses collaborateurs était suffisant pour garantir la continuité des
activités. Or cet argument omet le risque de rupture d’activité causé par une attaque d’origine cyber ciblant
précisément les capacités de travail à distance et/ou les portions du SI accessibles via ces capacités.

Par ailleurs, le dispositif de continuité d’activité de la SGP n°1 ne prend pas en compte sa dépendance élevée à
l’infogérant. Quant à celui de la SGP n°2, il n’a pas été testé en 2022 sur l’intégralité du périmètre des applications
sensibles (en dehors du PMS). En conclusion, le niveau de couverture, par le PCA des SGP, des services rendus par
les prestataires informatiques et les autres partenaires demeure incomplet pour la majorité des SGP du panel
(SGP n°1, 2, 4 et 5).

Enfin, 3 des SGP du panel (n°1, 2 et 3) ont souscrit une assurance contre les risques d’origine cyber, ou en
bénéficient via leur maison mère. La mission de contrôle n’a toutefois pas réalisé d’analyse poussée du niveau de
couverture des assurances souscrites par ces acteurs.

Rappels réglementaires

S’agissant de la cartographie des prestataires informatiques et des canaux de communication informatique

actifs avec les autres partenaires et du processus de sauvegarde des données externalisées :
- Articles 321-24 du RG AMF : cf. supra (et les articles 57 (2) du RD n°231/2013 et 21 (2) du RD
n°2017/565).
- Articles 321-96 (II) (10) du RG AMF : « II. – […] La SGP […] est en particulier tenue de prendre toutes les
mesures pour que les conditions suivantes soient remplies : […] (10) le prestataire de services assure la
protection des informations confidentielles ayant trait à la société de gestion de portefeuille ou à ses
clients » (et les articles 318-61 (II) (10) du RG AMF et 31 (2) (j) du RD n°2017/565).

S’agissant de la déclaration à l’AMF des CSP :

- Article 321-23 (VI) du RG AMF : cf. supra (et les articles 57 (1) (d) du RD n°231/2013 et 21 (1) (e) du
RD n°2017/565).
- Point 44 de la section n°8 des orientations de l’ESMA 50-164-4285 FR du 10 mai 2021 : « L’entreprise
devrait notifier par écrit à son autorité compétente, en temps utile, les accords de sous-traitance de
services en nuage prévus qui concernent une fonction importante ou critique. L’entreprise devrait
également notifier en temps utile et par écrit à son autorité compétente les accords de sous-traitance
de services en nuage qui concernent une fonction précédemment classée comme non importante ou
non critique et qui est ensuite devenue importante ou critique. »

S’agissant du corps procédural relatif à la sélection, à la contractualisation et au contrôle de premier niveau

des services rendus par les prestataires informatiques et les autres partenaires :
- Articles 321-30 du RG AMF : cf. supra (et les articles 61 (1) du RD n°231/2013 et 22 (1) du RD
n°2017/565).

S’agissant de la formalisation de la phase de mise en concurrence et de contractualisation avec un prestataire

informatique ou un autre partenaire :
- Articles 321-96 (II) du RG AMF : « II. - La société de gestion de portefeuille agit avec toute la
compétence, le soin et la diligence requis lorsqu'elle conclut, applique ou met fin à un contrat
d'externalisation d'une tâche ou fonction opérationnelle essentielle ou importante. […] » (et les articles
318-61 (II) du RG AMF et 31 (2) du RD n°2017/565).

32/40
 - Article 321-96 (III) du RG AMF : « (III) Les droits et obligations respectifs de la société de gestion de
portefeuille et du prestataire de services sont clairement définis dans un contrat. » (et les articles 318-
61 (III) du RG AMF et 31 (3) du RD n°2017/565).
- Articles 321-96 (V) du RG AMF : « V. - La société de gestion de portefeuille fournit à l'AMF, à la demande
de celle-ci, toutes les informations nécessaires pour lui permettre de vérifier que les tâches ou fonctions
externalisées sont effectuées conformément aux exigences du présent livre. » (et les articles 318-61 (V)
du RG AMF et 31 (5) du RD n°2017/565).
- Point 28 (n) de la section n°3 des orientations de l’ESMA 50-164-4285 FR du 10 mai 2021 : « En cas de
sous-traitance de fonctions importantes ou critiques, l’accord écrit devrait comprendre au moins : […]
(n) l’obligation pour le [CSP] d’accorder à l’entreprise, à ses autorités compétentes et à toute autre
personne désignée par l’entreprise ou les autorités compétentes le droit d’accéder («droits d’accès») et
d’inspecter («droits d’audit») les informations, les locaux, les systèmes et les dispositifs pertinents du
prestataire de services en nuage dans la mesure où cela est nécessaire pour suivre les performances du
prestataire de services en nuage dans le cadre de l’accord de sous-traitance de services en nuage et sa
conformité aux exigences réglementaires et contractuelles en vigueur, compte tenu de l’orientation 6 ».

S’agissant des diligences de contrôle de premier niveau exécutées par les SGP sur les services externalisés :
- Articles 321-96 (II) (2) (5) (9) du RG AMF : « (II) […] La société de gestion de portefeuille est en particulier
tenue de prendre toutes les mesures pour que les conditions suivantes soient remplies : (2) le prestataire
de services fournit les services externalisés de manière efficace. À cet effet, la société de gestion de
portefeuille définit des méthodes d'évaluation du niveau de performance du prestataire de services ; (5)
la société de gestion de portefeuille conserve l'expertise nécessaire pour contrôler effectivement les
tâches ou fonctions externalisées et gère les risques découlant de l'externalisation, et procède au
contrôle de ces tâches et à la gestion de ces risques ; (9) la société de gestion de portefeuille, les
personnes chargées du contrôle de ses comptes et les autorités compétentes ont un accès effectif aux
données relatives aux tâches ou fonctions externalisées et aux locaux professionnels du prestataire de
services » (et les articles 318-61 (II) (2) (5) (9) du RG AMF et 31 (2) (b) (e) (i) du RD n°2017/565).

S’agissant de la stratégie de sortie des relations contractuelles en place avec les prestataires informatiques
et les autres partenaires :
- Article 321-96 (II) (7) du RG AMF : « […] les modalités de résiliation du contrat d’externalisation à
l’initiative de l’une quelconque des parties doivent permettre d’assurer la continuité et la qualité des
activités exercées. » (et les articles 318-61 (II) (7) du RG AMF et 31 (2) (g) du RD n°2017/565).
- Point 31 de la section n°5 « stratégie de retrait » des orientations de l’ESMA 50-164-4285 FR du 10
mai 2021 : « En cas de sous-traitance de fonctions importantes ou critiques, une entreprise devrait
s’assurer qu’elle est en mesure de se retirer de l’accord de sous-traitance de services en nuage sans
perturber indûment ses activités économiques et les services qu’elle fournit à ses clients, et sans que ce
soit au détriment du respect des obligations qui lui incombent en vertu de la législation applicable, ni
de la confidentialité, de l’intégrité et de la disponibilité de ses données. […] »

S’agissant de la négociation d’une astreinte avec la société externe en charge de la surveillance du SI :

- Articles 321-93 du RG AMF : « « Lorsque la société de gestion de portefeuille confie à un tiers l'exécution
de tâches ou fonctions opérationnelles essentielles ou importantes pour la fourniture d'un service ou
l'exercice d'activités, elle prend des mesures raisonnables pour éviter une aggravation indue du risque
opérationnel. L'externalisation de tâches ou fonctions opérationnelles essentielles ou importantes ne
doit pas être faite de manière qui nuise sensiblement à la qualité du contrôle interne et qui empêche
l'AMF de contrôler que la société de gestion de portefeuille respecte bien toutes ses obligations. » (et
les articles 318-58 du RG AMF et 31 (1) du RD n°2017/565).
- Article 321-96 (II) (3) du RG AMF : « La société de gestion de portefeuille est en particulier tenue de
prendre toutes les mesures pour que les conditions suivantes soient remplies : […] (II) (3) le prestataire
de services surveille de manière appropriée l'exécution des tâches ou fonctions externalisées et gère de
manière adéquate les risques découlant de l'externalisation » (et les articles 318-61 (II) (3) du RG AMF
et 31 (2) (c) du RD n°2017/565).

33/40
 S’agissant de la collecte des incidents d’origine cyber liés aux activités externalisées :
- Articles 321-23 (VII) du RG AMF : « […] [la SGP enregistre de manière adéquate et ordonnée le détail
de ses activités et de son organisation interne. » (et les articles 57 (1) (e) et 21 (1) (f) du RD
n°2017/565).
- Article 321-96 (II) (6) du RG AMF : « […] le prestataire de service informe la SGP de tout évènement
susceptible d’avoir un impact sensible sur sa capacité à exécuter les tâches ou fonctions externalisées
de manière efficace et conforme aux obligations professionnelles mentionnées au II de l’article L. 621-
15 du code monétaire et financier qui leur sont applicables » (et les articles 318-61 (II) (6) du RG AMF
et 31 (2) (f) du RD n°2017/565).

S’agissant de la continuité des activités externalisées :

- Articles 321-25 du RG AMF : « La SGP établit et maintient opérationnels des plans de continuité de
l'activité afin de garantir, en cas d'interruption de ses systèmes et procédures, la sauvegarde de ses
données et fonctions essentielles et la poursuite de son activité de gestion d'un OPCVM ou, en cas
d'impossibilité, afin de permettre la récupération en temps utile de ces données et fonctions et la reprise
en temps utile de ses activités. » (et les articles 57 (3) du RD n°231/2013 et 21 (3) du RD n°2017/565).
- Article 321-96 (II) (11) du RG AMF : « […] (11) la société de gestion de portefeuille et le prestataire de
services établissent, mettent en place et gardent opérationnel un plan d'urgence permettant le
rétablissement de l'activité après un sinistre et prévoyant un contrôle régulier des capacités de
sauvegarde, dans tous les cas où cela apparaît nécessaire eu égard à la nature de la tâche ou la fonction
externalisée. » (et les articles 318-61 (II) (11) du RG AMF et 31 (2) (k) du RD n°2017/565).

Bonnes pratiques
- Veiller à inclure dans la cartographie des prestataires informatiques externes l’intégralité des éditeurs
des applications figurant dans la cartographie applicative.
- Collecter, dans le cadre du contrôle de premier niveau des services rendus par les prestataires
informatiques et les autres partenaires, les rapports ciblant l’existence et l’efficacité du dispositif de
contrôle interne des acteurs évalués.
- Distinguer, dans le registre de collecte des incidents, les incidents d’origine cyber des incidents
informatiques 129.
- Formaliser une procédure de gestion des incidents d’origine cyber ciblant les étapes de déclaration,
collecte, escalade et reporting aux dirigeants-responsables 130.
- Vérifier régulièrement les capacités de travail à distance des équipes ainsi que le niveau de sécurité des
installations de secours 131.
- Formaliser un plan de sauvegarde régulier des données informatiques, précisant le périmètre et la
fréquence des opérations menées 132.
- Réaliser des tests de restauration périodiques des données sauvegardées 133.
- Prévoir la couverture des risques d’origine cyber dans les polices d’assurance négociées par les SGP
pour leurs activités 134 après avoir préalablement identifié de manière claire les types de risques
couverts par l’assurance souscrite et les conditions sous lesquelles l’assurance acceptera de couvrir un
cybersinistre.

Mauvaises pratiques
- Omettre de prendre en compte dans la cartographie des liaisons informatiques actives avec les autres
partenaires, et dans la cartographie des données sensibles de la SGP, les risques liés à l’usage de canaux

129 Pratique déjà identifiée lors des campagnes de contrôles SPOT cyber sécurité 2019 (mauvaise pratique) et 2020 (bonne pratique).
130 Bonne pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
131 Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.
132 Bonne pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
133 Ce thème avait fait l’objet de l’identification d’une mauvaise pratique lors de la campagne SPOT cybersécurité menée en 2020.
134 Bonne pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.

34/40
 d’échanges comportant des vulnérabilités standards (ex : courriels non chiffrés, plateformes
accessibles sans double authentification) 135.
- Ne pas prendre en compte les critères relatifs à la robustesse des dispositifs de cybersécurité et de
continuité d’activité dans le cadre de la sélection et de l’évaluation des prestataires informatiques et
des autres partenaires 136.
- Limiter aux heures ouvrées la surveillance automatisée du SI 137.
- Ne pas faire état, dans le contrat de l’administrateur informatique externe, des mesures de
cybersécurité exigées pour son activité 138.
- Omettre l’inclusion d’une clause d’audit dans les contrats liant la SGP à ses prestataires
informatiques 139
- Omettre de demander aux prestataires/partenaires externes clés communication des rapports d’audit
de sécurité ayant été menés en leur sein 140.

5.4. Dispositif de contrôle interne

5.4.1. Organisation et gouvernance du dispositif de contrôle interne

Les 5 SGP du panel disposent d’un RCCI à plein temps qui rapporte à un dirigeant responsable ou à un membre du
comité exécutif. Ce RCCI est accompagné de deux collaborateurs dans les SGP n°1 et 5.

La fonction de contrôle périodique est intégralement déléguée à un prestataire externe dans 4 SGP sur 5. Le volume
horaire annuel délégué s’élève à 13 jours/homme (j/H) pour la SGP n°1, 18 j/H pour la SGP n°4 et 20 j/H pour les
SGP n°3 et 5. Elle est en revanche exercée par l’audit interne du groupe pour la SGP n°2.

L’indépendance des équipes en charge des fonctions de contrôle permanent et périodique a été constatée par la
mission de contrôle, sauf pour la SGP n°1. Sur la période sous contrôle, une même société externe a en effet mené
un audit technique du dispositif de cybersécurité (en 2021), puis a assuré (de juin 2022 à mars 2023) une mission
de RSSI délégataire auprès de la SGP.

Les résultats des travaux du contrôle interne font l’objet d’une présentation aux dirigeants responsables de chaque
SGP du panel au travers d’un comité dédié sur une fréquence trimestrielle (pour les SGP n°1, 2, 3 et 4) et annuelle
(pour la SGP n°5).

5.4.2. Cartographie des risques d’origine cyber

Les 5 SGP du panel ont formalisé et maintenu à jour une cartographie des risques qui intègre le risque d’origine
cyber. L’impact potentiel de ce risque est évalué comme fort pour une probabilité basse.
Seules les SGP n°2 et 5 ont doublé cet exercice par la formalisation d’une cartographie dédiée aux différents types
de risques d’origine cyber.
Par ailleurs, la proportion de SGP à avoir prévu dans leurs cartographies un risque spécifique à la sélection, à la
contractualisation et au suivi des prestataires informatiques et des autres partenaires est minoritaire : elle ne
concerne que les SGP n°1 et 5.

135
Mauvaise pratique déjà partiellement identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020 sous la forme plus
générique suivante : « Omettre de prendre en compte dans la cartographie des données sensibles les échanges informatisés de données
opérés avec les partenaires de la SGP (dépositaire, teneur de compte, et CAC notamment). »
136
Pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020, mais en tant que bonne pratique sur le
premier critère (relatif au dispositif de cyber sécurité).
137 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2019.
138 Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
139
Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2020.
140 Ce thème avait fait l’objet de l’identification d’une bonne pratique lors de la campagne de contrôles SPOT cybersécurité 2020.

35/40
L’exercice de cartographie exécuté par les 5 SGP du panel sur la période sous contrôle s’appuie sur une analyse des
risques réalisée sur les principales applications informatiques sensibles utilisées.

5.4.3. Contrôle permanent

Les 5 SGP du panel ont formalisé un plan de conformité et de contrôle interne (PCCI). Ce plan a été mis à jour
chaque année au cours de la période sous contrôle. Chacun de ces plans a inclus au moins un contrôle ciblant le
dispositif de cybersécurité de la SGP. Ces contrôles ont fait l’objet d’une formalisation adéquate au cours de la
période sous contrôle. Ils ont ciblé les procédures relatives à la cybersécurité et à la reprise d’activité, la
cartographie du SI, le traitement des incidents d’origine cyber, l’exécution d’audits techniques, les actions de
sensibilisation et la gestion des accès logiques aux applications informatiques et des accès physiques aux locaux.

Les principales applications externes sensibles utilisées ont fait l’objet d’au moins une revue des accès logiques
sur la période sous contrôle au sein de 3 SGP (n°1, 3 et 5). Cette revue n’a couvert qu’une partie des applications
sensibles des SGP n°2 et 4. La SGP n°2 a en effet omis d’inclure 2 CSP dans cette revue (à savoir les éditeurs de
l’OMS et de l’outil de CRM). Quant à la SGP n°4, elle n’a pas inclus son PMS ainsi que l’outil de communication avec
deux TCC.

Par ailleurs, les PCCI consultés ont inclus un contrôle ciblant la sélection, la contractualisation avec les prestataires
informatiques et les autres partenaires, ainsi que le suivi de ceux-ci, pour 3 des SGP du panel (n°1, 3 et 4). Ces
contrôles ont été dûment formalisés au sein d’une fiche dédiée utilisant une approche d’évaluation par critère. En
revanche, s’agissant de la SGP n°4, les recommandations 141 émises par le contrôle permanent à l’issue de ce
contrôle en décembre 2022 s’avèrent être les mêmes que celles émises à l’issue de l’édition de décembre 2021, ce
qui caractérise un suivi insuffisant des recommandations du contrôle permanent.

S’agissant de la SGP n°2, ses PCCI n’ont porté que sur la phase de suivi des prestataires/partenaires, à l’exclusion
des phases de sélection et de contractualisation. Lors de son exécution, les contrôleurs ont de plus omis d’inclure
à leur revue l’infogérant, le dépositaire/valorisateur, le CAC de la SGP et les CAC des fonds.

Les PCCI de la SGP n°5 n’ont pas prévu de contrôle, sur la période sous revue, du processus de sélection,
contractualisation et suivi des prestataires informatiques et des autres partenaires. Un tel contrôle n’a été mené
que sur S1 2023. Il recommande de contacter les CSP afin de leur proposer une adaptation des clauses
contractuelles négociées en lien avec les orientations de l’ESMA 142.

5.4.4. Contrôle périodique

Les 5 SGP du panel ont formalisé et mis à jour annuellement un plan de contrôle périodique au cours de la période
sous revue. Ces plans de contrôle périodique ont tous inclus au moins un audit ciblant le dispositif de cybersécurité
de la SGP. Les rapports d’audit produits dans ce cadre sont présentés de manière synthétique dans le tableau
suivant.

Audits
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
menés
Nombre 1 3 2 1 4
Période S1 2022 S2 2022 – T1 2023 T4 2022 – T1 2023 T1 2023 T2 2020 – T4 2022
Délégataire de
Délégataire de
Délégataire de Consultants contrôle périodique et
Auditeurs Audit groupe contrôle
contrôle périodique externes spécialisés consultants externes
périodique
spécialisés

141 Ces recommandations ont ciblé le renforcement du suivi des prestataires, la généralisation de l’enregistrement des incidents touchant le
SI et la mise en concurrence systématique par appel d’offres pour les prestataires essentiels.
142 Cf. lexique.

36/40
 Évaluation
partiellement partiellement partiellement partiellement partiellement
globale des
satisfaisant satisfaisant satisfaisant satisfaisant satisfaisant
auditeurs
Politique de Stratégie informatique, Antivirus, dispositif Organisation, Organisation,
cybersécurité, PCA, dispositif technique de technique de gouvernance et gouvernance et corps
contrôle permanent sécurité des SI, sécurité des accès corps procédural procédural relatifs au
Thèmes traitement des risques logiques et relatifs au dispositif de
couverts informatiques, gestion physiques dispositif de cybersécurité,
des accès, contrôle cybersécurité dispositif technique de
permanent sécurité des SI,
infogérance

La mission de contrôle a constaté que la mise en œuvre des plans d’action associés aux recommandations émises
à la suite de ces audits était, à date de contrôle, achevée ou en cours sans difficulté particulière d’implémentation.

En revanche, seule une SGP sur les 5 a diligenté, sur la période sous contrôle, un audit formel du processus de
sélection, de contractualisation avec les prestataires informatiques et les autres partenaires, et du suivi de ceux-
ci. Cet audit, mené en septembre 2021 par un cabinet externe, a débouché sur plusieurs recommandations (dont
la mise en œuvre complète n’est pas achevée) visant le renforcement du corps procédural et du dispositif de
contrôle associé au processus cité.

L’absence de contrôle périodique sur le processus précité a cependant été compensée, sur la période sous revue,
par la réalisation d’audits techniques ponctuels ayant ciblé les services rendus par une partie des prestataires
informatiques et autres partenaires. Ce type de mission a été déclenché par la SGP n°1 via l’activation de la clause
d’audit des contrats signés respectivement avec l’infogérant et l’éditeur de la plateforme de souscription en ligne.
La couverture de ces audits demeure néanmoins insuffisante. À titre d’exemple, ils n’ont porté ni sur l’outil de CRM
(pour les 5 SGP du panel), ni sur le portail d’échanges mis à disposition par le dépositaire-valorisateur (pour les SGP
n°2 et 4).

Rappels réglementaires
- Articles 321-23 (IV) du RG AMF : « La SGP […] IV […] établit et maintient opérationnels des mécanismes
de contrôle interne appropriés, conçus pour garantir le respect des décisions et procédures à tous les
niveaux de la société de gestion de portefeuille. […] » (et les articles 57 (1) (c) du RD n°231/2013 et 21
(1) (c) du RD n°2017/565)
- Articles 321-31 (I) (1) du RG AMF : « I. - La SGP établit et maintient opérationnelle une fonction de
conformité efficace exercée de manière indépendante. [Sa] mission consiste à : (1) contrôler et, de
manière régulière, évaluer l'adéquation et l'efficacité des politiques, procédures et mesures mises en
place en application de l'article 321-30, et des actions entreprises visant à remédier à tout manquement
de la société de gestion de portefeuille et des personnes concernées à leurs obligations professionnelles
mentionnées au II de l'article L. 621-15 du code monétaire et financier » (et les articles 61 (2) (a) du RD
n°231/2013 et 22 (2) (a) du RD n°2017/565)
- Articles 321-86 : « Les contrôles de premier niveau sont pris en charge par des personnes assumant des
fonctions opérationnelles. Le contrôle permanent s’assure, sous la forme de contrôles de deuxième
niveau, de la bonne exécution des contrôles de premier niveau. Le contrôle permanent est exercé
exclusivement, sous réserve de l’article 321-90, par des personnes qui lui sont dédiées. » (et l’article
318-51 du RG AMF)
- Article 321-83 du RG AMF : « Lorsque cela est approprié et proportionné eu égard à la nature, à
l'importance, à la complexité et à la diversité des activités qu'elle exerce, la société de gestion de
portefeuille établit et maintient opérationnelle une fonction de contrôle périodique distincte et
indépendante de ses autres fonctions et activités et dont les responsabilités sont les suivantes (1) établir
et maintenir opérationnel un programme de contrôle périodique visant à examiner et à évaluer
l'adéquation et l'efficacité des systèmes, mécanismes de contrôle interne et dispositifs de la société de
gestion de portefeuille ; (2) formuler des recommandations fondées sur les résultats des travaux réalisés
conformément au 1° ; (3) vérifier le respect de ces recommandations ; (4) fournir des rapports sur les

37/40
 questions de contrôle périodique conformément à l'article 321-36. » (et les articles 62 du RD
n°231/2013 et 24 du RD n°2017/565)
- Article 321-96 (II) (5) du RG AMF : cf. supra (et les articles 318-61 (II) (5) du RG AMF et 31 (2) (e) du
RD n°2017/565)

Bonne pratique
- Faire réaliser régulièrement, par un prestataire externe spécialisé, un test d’intrusion sur le SI de la
SGP 143.

Mauvaises pratiques
- Limiter l’exercice de cartographie des risques d’origine cyber à une mention généraliste au sein de la
cartographie des risques de la SGP, omettant la diversité des menaces potentielles, dont celles liées
aux services informatiques et aux canaux de communication externalisés, ainsi que les incidents
d’origine cyber déjà subis.
- Ne pas déployer le processus de contrôle interne sur le périmètre de l’ensemble des prestataires
informatiques externes sensibles 144.

6. Annexe : résultats détaillés des tests menés par la mission de

contrôle
 Résultats obtenus dans le cadre du test sur la phase de sélection
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Taux d’anomalies
constatées 145 sur
le périmètre des 33 % 100 % 40 % 100 % 100 %
prestataires
informatiques
L’infogérant n’a pas Aucun des acteurs La SGP n’a pas réalisé Aucun des acteurs Aucun des acteurs
Principales
fait l’objet d’un testés n’a fait l’objet de mise en testés n’a fait l’objet testés n’a fait l’objet
anomalies
processus de d’un processus de concurrence d’un processus de d’un processus de
identifiées sur le
sélection formalisé. sélection formalisé. formalisée pour sélection formalisé. sélection formalisé.
périmètre des
l’infogérant et
prestataires
l’éditeur de l’outil
informatiques
bureautique.
Taux d’anomalies
constatées sur le
périmètre des 80 % 100 % 100 % 100 % 100 %
autres
partenaires
Principales Le dépositaire, les 2 Aucun des acteurs Aucun des acteurs Aucun des acteurs Aucun des acteurs
anomalies CAC et l’apporteur testés n’a fait l’objet testés n’a fait l’objet testés n’a fait l’objet testés n’a fait l’objet
identifiées sur le d’affaires n’ont pas d’un processus de d’un processus de d’un processus de d’un processus de
périmètre des fait l’objet d’un sélection formalisé. sélection formalisé. sélection formalisé. sélection formalisé.
autres processus de
partenaires sélection formalisé.

143 Bonne pratique déjà identifiée lors des campagnes de contrôles SPOT cybersécurité menées en 2019 et 2020.
144
Mauvaise pratique déjà identifiée lors de la campagne de contrôles SPOT cybersécurité menée en 2019.
145 Nombre de membres de l’échantillon pour lesquels des anomalies ont été identifiées / Nombre total de membres de l’échantillon.

38/40
  Résultats obtenus dans le cadre du test sur la phase de contractualisation
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Taux
d’anomalies 146
constatées sur le
0% 11 % 0% 71,4 % 28,5 %
périmètre des
prestataires
informatiques
Chacune des 3 Le contrat signé Chacune des 3 La clause relative au La clause de
prestations avec l’infogérant prestations dispositif de réversibilité est
informatiques testées a n’inclut pas de informatiques testées a cybersécurité est absente des contrats
fait l’objet d’un contrat mentions fait l’objet d’un contrat absente des contrats signés avec
formalisé, daté et relatives au formalisé, daté et signé, signés avec les 3 l’infogérant,
signé, incluant les processus de incluant les clauses prestataires. l’hébergeur et
clauses précisées dans gestion des précisées dans la l’éditeur de l’outil de
la procédure. incidents procédure. Les clauses d’audit, de CRM.
d'origine cyber réversibilité, de
pouvant garantie d’accès aux Le contrat signé avec
impacter les données, de gestion l’infogérant n’inclut
Principales
données de la des incidents pas les clauses
anomalies
SGP reçues par le d’origine cyber et de relatives à la sécurité
identifiées sur le
prestataire. continuité d’activité informatique, au droit
périmètre des
sont absentes des d’audit du client, à
prestataires
contrats signés avec l’accès (par la SGP et
informatiques
l’infogérant et l’AMF) aux données
l’hébergeur. collectées/retraitées
par le prestataire, à la
La clause relative à la localisation
localisation des géographique des
données infrastructures du
externalisées est prestataire et à la
absente des contrats gestion des incidents
signés avec d’origine cyber.
l’infogérant et
l’éditeur de l’OMS.
Taux d’anomalies
constatés sur le
65 % 32 % 71,4 % 59,5 % 33 %
périmètre des
autres partenaires
Le dispositif de Le contrat signé Les clauses d’audit, de Les clauses relatives La clause de
cybersécurité n’est pas avec le CAC des réversibilité et de au dispositif de réversibilité est
couvert par le contrat fonds n’inclut pas gestion des incidents cybersécurité, à la absente de l’ensemble
signé avec les CAC et le de clauses d’origine cyber sont gestion des incidents des contrats testés.
valorisateur. d’audit, ni de absentes de l’ensemble d’origine cyber et à la
réversibilité ni de des contrats testés. continuité d’activité La clause d’audit et la
Les clauses d’audit et garantie d’accès sont absentes des clause relative à la
de réversibilité ne sont aux données Les clauses relatives aux contrats signés avec continuité d’activité
Principales pas incluses dans les externalisées. dispositifs de les 6 partenaires sont absentes des
anomalies contrats signés avec cybersécurité et de testés. contrats signés avec le
identifiées sur le les CAC et l’apporteur Le contrat signé continuité d’activité dépositaire, le CAC de
périmètre des d’affaires. avec le CAC de la sont absentes des La clause relative à la la SGP, le CAC des
autres partenaires SGP n’inclut que contrats signés avec le localisation fonds et le
La garantie d’accès aux la clause relative dépositaire/valorisateur géographie des distributeur.
données et la à la localisation et le distributeur. données
localisation géographie des externalisées n’a été
géographique des infrastructures La clause garantissant convenue qu’avec le
serveurs ne sont pas hébergeant les l‘accès aux données à la CAC des fonds et de la
couvertes par les données SGP et à son autorité de SGP.
contrats signés avec le externalisées. tutelle est absente du
contrat signé avec le

146 Nombre (consolidé sur l’échantillon) de clauses manquantes dans les contrats consultés / nombre (consolidé sur l’échantillon) total de
clauses attendues (soit 7 clauses en tout relatives respectivement au dispositif de cyber sécurité, au droit d’audit, à la réversibilité, à la
garantie d’accès aux données, à la localisation géographique des infrastructures du prestataire, à la gestion des incidents d’origine cyber
et à la continuité des activités).

39/40
 SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
valorisateur et CAC des fonds et de la Les clauses d’audit et
l’apporteur d’affaires. SGP. de réversibilité ne
figurent pas dans le
Le processus de La clause faisant contrat signé avec le
gestion des incidents mention de la dépositaire.
d’origine cyber et de localisation
continuité d’activité géographique des
n’est couvert par données externalisées
aucun des contrats est absente du contrat
testés. signé avec le
distributeur.

 Résultats obtenus dans le cadre du test sur la phase de contrôle de premier niveau
SGP n°1 SGP n°2 SGP n°3 SGP n°4 SGP n°5
Taux d’anomalies 147
constatées sur le
périmètre des 0% 50 % 20 % 100 % 0%
prestataires
informatiques
Chacune des 3 Les prestations L’éditeur de l’outil de Les 3 prestataires La SGP a fourni à la
prestations de l’infogérant CRM n’a pas été évalué testés ont fait mission de contrôle les
informatiques testées a n’ont pas fait sur la période sous l’objet, sur la procès-verbaux des
fait l’objet, sur la l’objet d’un suivi contrôle. période sous comités annuels de
période sous contrôle, formalisé sur la contrôle, d’au moins suivi de prestation
Principales anomalies d’au moins une période une évaluation organisés avec chacun
identifiées sur le évaluation formelle, contrôlée. formelle, datée et des prestataires de
périmètre des datée et signée ciblant, signée, ciblant la l’échantillon.
prestataires outre la qualité des qualité des services
informatiques (ou services rendus, le rendus, mais pas le
commentaire) niveau de sécurité et de niveau de sécurité
continuité d’activité offert par le
offert par le prestataire prestataire dans
dans l’exécution de ses l’exécution de ses
obligations obligations
contractuelles. contractuelles.
Taux d’anomalies
constatées sur le
0% 75 % 33 % 100 % 33 %
périmètre des autres
partenaires
4 des 5 partenaires Le processus de Le CAC des fonds et de Les évaluations Aucun contrôle
testés ont fait l’objet communication la SGP n’a pas fait effectuées sur formalisé n’a été
d’une évaluation, sur la des données l’objet, sur la période seulement 4 des 6 réalisé au cours de la
période sous contrôle, avec le sous contrôle, d’au partenaires testés période sous contrôle
Principales anomalies de même type que celle dépositaire / moins une évaluation (dépositaire, sur les prestations
identifiées sur le produite pour les valorisateur, le formelle, datée et valorisateur, TCC n°1 rendues par les CAC
périmètre des autres prestataires CAC des fonds et signée, ciblant, outre la et 2) n’ont pas inclus (des fonds et de la
partenaires (et/ou informatiques. de la SGP n’a pas qualité des services de vérification quant SGP).
commentaire) L’absence d’une telle été évalué sur la rendus, le niveau de au niveau de
évaluation pour période sécurité offert par le sécurité
l’apporteur d’affaires a contrôlée. canal informatique de informatique offert
été justifiée par la partage des dans le cadre de ces
SGP 148. informations 149. prestations.

147
Nombre de membres de l’échantillon pour lesquels des anomalies ont été identifiées / Nombre total de membres de l’échantillon.
148 La SGP n°1 a souligné la non-utilisation, sur la période sous contrôle, du canal de communication informatique mis en place. Il s’est avéré
qu’une fois les prospects présentés physiquement par l’entremise de l’apporteur d’affaires, les informations qui leur sont associées ont
été intégrées directement par la SGP n°1 sur son propre SI.
149
La SGP n°3 a justifié ce constat en précisant que le CAC en question était un prestataire du groupe, sélectionné et évalué par ce dernier. La
SGP n°3 n’a cependant pas communiqué à la mission de contrôle de preuves de collecte par ses soins desdites évaluations.

40/40