[PDF] SYNTHÈSE DES CONTRÔLES SPOT DISPOSITIF DE CYBER

View - Download SYNTHÈSE DES CONTRÔLES SPOT DISPOSITIF DE CYBER

Previous PDF

Next PDF

2021

SYNTHÈSEDESCONTRÔLESSPOT

DISPOSITIF

DECYBERSÉCURITÉDES

SOCIÉTÉS

DEGESTIONDE

PORTEFEUILLE

N°2Ͳ2020amfͲfrance.org

Ͳ2Ͳ

INTRODUCTION

surcettethématiqueen2019. gestiondes 1 principaleapplicationmétier. lamissiondecontrôleclassique paruncadredédiéducomité 1 internedelacybersécurité.

Ͳ3Ͳ

sur constitueni obstacleaurespectdelaréglementation.

SOMMAIRE

1. Rappels4

2. Résumédesprincipauxenseignementsdelamission5

3. Contexteetpérimètre7

3.1Ͳ Introduction7

3.2Ͳ Présentationdel'échantillondesSGPcontrôlées7

3.3Ͳ Règlementationapplicable8

4. Constatsetanalyses9

4.1Ͳ Organisationetgouvernancedudispositifcyber9

4.2Ͳ Pilotagedes

prestatairesinformatiques12

4.3Ͳ Gestiondesincidentsd'originecyber19

4.4Ͳ Supervisiondesprocessusd'accèsdistantauSI24

4.5Ͳ Contrôleinternedesrisquesd'originecyber27

Ͳ4Ͳ

1Ͳ RAPPELS

répudiation 2 decesdernières.Ilest

Ͳconformitéréglementaire

3 dela mandats). 4

Glossaire

TermeDéfinition

mineurs/majeurs. cachécomme 2 3 4 l'ensembledes27Étatsmembres

Ͳ5Ͳ

TermeDéfinition

réseauinternedel'organisation. normalementaccessiblessurleréseau. informatique. pouvantcontenirdesliensmalicieux. données.

2Ͳ RÉSUMÉDESPRINCIPAUXENSEIGNEMENTSDELAMISSION

compteestréalisée parl'indépendancede bien 5 demeurelimitée.

Ilenest

etde 5

Seréférerauglossaire

Ͳ6Ͳ

en externes,etpasles En d'activitépostincident. 6 dudisquepour5

SPOT)fontétatd'unesophistication

desauvegarde cybercomme pardes risquespour5SGPcontrôlées sur6. 6

Seréférerauglossaire.

Ͳ7Ͳ

3Ͳ CONTEXTEETPÉRIMÈTRE

3.1ͲINTRODUCTION

("EuropeanSystemicRiskBoard»). unrapportde2020surlecyberͲrisque 7 quele informatiques. deuxguidesrelatifsàlacyber 8 (enoctobre2019)etundocumentrelatifàla 9 (enoctobre2020). 7 8 9

Ͳ8Ͳ

laGSM; développementdePMEfrançaises; investissement(spécialisée 10 )surlethèmedelacyber er janvier2017au14décembre2020.

3.3ͲRÉGLEMENTATIONAPPLICABLE

suivantes.

Règlesd'organisation

responsabilités; activitésdegestion;

Dispositifdeconformitéetdecontrôle

conformité; 10

Entreprisesdetailleintermédiaire

Ͳ9Ͳ

indépendante; auseindesSGP);

Responsabilitédesdirigeants

périodique;

Externalisation

informationstraitéesparlaSGP;

4Ͳ CONSTATSETANALYSES

responsabilités(directrice applicationsetinstallationsde samaisonͲmère).

étédéléguéeau

Ͳ10Ͳ

desdirecteursgénéraux ("DG»)delaSGP;

SGPn°123456

Encours(M€)50056578550516002267

%budgetcyber/informatiqueN/A3%7%23% externe; pourlaSGPn°2 risque etàquiestrattachéleDSIgroupe; les2 règlesdecybersécurité: debonnespratiquesd'usagedes généraledesécurité. effet: laSGPn°1n'apasmisenplacede

Ͳ11Ͳ

notamment); laSGP processusopérationnels.Cetexercice desSGPn°4et5: risquescyber.Cetteparticipation durant

Rappelsréglementaires:

n°2017/565(GSM).

AMFet22(1)duRD(UE)n°2017/565(GSM).

Ͳ12Ͳ

AMFn°2014Ͳ06).

Bonnespratiques:

11 sécurité 12

Mauvaisespratiques:

13 delaSGPn°5. 11 12 13

Ͳ13Ͳ

SGPn°123456

Gestion

immobilière

CapitalͲ

investissement

Premier

prestataire sélectionnéAdministrateur informatique externe N/A 14

IdemSGPn°1Editeurde

l'applicationde gestiondes contacts commerciaux etdesuivides participations

Second

prestataire sélectionnéEditeurde l'applicationde gestiondes mandatsEditeurde l'application dépositaire N/A 15

Editeurde

l'application degestion des participationsEditeurde l'applicationde gestion immobilièreEditeurde l'espacevirtuel departage avecles investisseurs d'audit 16 nefontpasl'objetde comptesrendusformalisés); et6à desservicesrendusparl'éditeurdeleur principaleapplicationmétier.Eneffet: laSGPn°5aformaliséuneseule 14 15 16 laprestationdeservicerendue.

Ͳ14Ͳ

tableausupra(section4.2).

7consultants

17 .Ilssesont déroulésdu1 er octobreau8décembre2020 18 testées sontfourniesenmode"SaaS» 19 20 compteenamontdulancementdesdiligences. contrôléesdansuntemps recommandationsduguide 21
autorisé. desSGPconcernées 22
respectifnesontpasexternalisées. 17 unordredemissionnominatif. 18 19

Seréférerauglossaire.

20 21
22

Ͳ15Ͳ

Vulnérabilitéidentifiée

23

Risqueassocié

SGPconcernéeparlavulnérabilité

identifiée n°1n°3n°4n°5

L'administrateurinformatiqueexterne

pasbloqués.Contaminationduposte administrateurconduisantàcelledu réseaudelaSGPOuiOuiOui Non

L'administrationdespostesetdesserveurs

estréaliséeparlebiaisd'uncompte d'usurpationducompte administrateurOui

NonOuiOui

opérationssurleSIdelaSGPestvisible

SIdelaSGPparunassaillantexterneOui

NonNonNon

L'administrateurinformatiqueexternedela

SGPestunesociétéunipersonnelle:le

dirigeantetuniquecollaborateurne disposed'aucunremplaçant/suppléant voirededéfaillance,de l'administrateurinformatique externedanssamission d'administrationduSIdelaSGPOui

NonNonNon

dédiédanslasectionsuivante. aucuneattaque 24
n'aétéréalisée.Deplus,aucune 25

Vulnérabilité

identifiée 26

Risqueassocié

n°1 (OPCVM/mandats) n°2 (OPCVM/mandats) n°4 (cap.Ͳinvest.) n°5 (immo.)

Rappeldurôledel'applicationtestée

Gestiondes

mandats

Application

dépositaire

Gestiondes

participations

Gestiondes

invest.immo.

Lesextractionsde

donnéesàpartirde l'applicationnesont nilimitées techniquement,ni tracées.NonͲdétection précocedes fuitesde données massivesOui

NonNonOui

Ledispositifde

protectiondelabase dedonnéesde l'applicationest insuffisant.Perte d'intégrité/de confidentialité delabasede données applicativeOui:leflux permettantà l'applicationde contactersabase dedonnéesn'est paschiffré.Oui:laconsole d'administration duportailde connexionà l'application permetde

NonOui:leflux

permettantà l'applicationde contactersa basede 23
24
25
26

Ͳ16Ͳ

Vulnérabilité

identifiée 26

Risqueassocié

n°1 (OPCVM/mandats) n°2 (OPCVM/mandats) n°4 (cap.Ͳinvest.) n°5 (immo.)

Rappeldurôledel'applicationtestée

Gestiondes

mandats

Application

dépositaire

Gestiondes

participations

Gestiondes

invest.immo. lire/modifierla basededonnéesdonnéesn'est paschiffré.

Lesrestrictions

techniquesàla modificationdes tablesdegestiondes droitsd'accèsàla basededonnéesde l'applicationsont insuffisantes,voire inexistantes 27
.Accèsnon autoriséàdes données sensiblespar unutilisateur interneayant

élevéses

privilègesdans l'applicationOui

NonOui:la

vulnérabilitéest renforcéeparle niveau insuffisantde contrôlequotesdbs_dbs42.pdfusesText_42

[PDF] Le document final comporte 13 pages et balaye les notions info-documentaires de la fin de l'école primaire à la première année universitaire.

[PDF] CAP POST BAC PATISSERIE

[PDF] Objet CESSIONS DE POUVOIR DE VENDRE

[PDF] Portail national unique APB 2015 www.admission-postbac.fr

[PDF] «Introduction» Stéphane Leman-Langlois et Marc Ouimet. Criminologie, vol. 39, n 1, 2006, p. 3-6.

[PDF] LA FORMATION DES PSYCHOLOGUES EN SUISSE ROMANDE

[PDF] Première année, 1 er semestre : 14 semaines Semestre commun avec la Licence fondamentale de psychologie 1

[PDF] Recommandations. pour améliorer le dispositif national de veille sanitaire

[PDF] FICHES D ENSEIGNEMENT LES COMPLICATIONS AIGUËS DE LA PEAU ET DES TISSUS MOUS CHEZ LES UTILISATEURS DE DROGUES PAR INJECTION (UDI)

[PDF] MINISTÈRE DE L'ÉDUCATION NATIONALE LIVRET SCOLAIRE. pour l'examen du BACCALAURÉAT PROFESSIONNEL. et du diplôme intermédiaire associé

[PDF] Organiser sa veille avec les logiciels libres

[PDF] Allianz Professionnels de l auto «Confort»

[PDF] CONVOCATION AUX EXAMENS SESSION 2 - JUIN 2015 ORGANISÉS PAR L'ADMINISTRATION

[PDF] I. Contexte et justification

[PDF] des modules de formation Exprimer un propos en utilisant le lexique professionnel approprié