BPCE // DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021

RESPECTER NOS ENGAGEMENTS EN MATIÈRE D’ÉTHIQUE DES AFFAIRES DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

améliorer continûment la connaissance des actifs de son 3) système d’information et renforcer leur protection : en appliquant et renforçant les fondamentaux de la sécurité, – en renforçant la protection des actifs les plus sensibles en – cohérence avec le modèle d’appétit au risque, et en particulier la protection des données, en mettant en place une gouvernance renforcée des – identités, c’est-à-dire des personnes (collaborateurs, prestataires, partenaires, etc.) accédant à ses systèmes d’information et des habilitations qui leur sont affectées, en développant une culture cyber au sein du Groupe et les – outils et méthodes associés selon les populations ; intensifier en permanence ses capacités de détection et de 4) réaction face aux cyberattaquants : afin de répondre à l’évolution de la menace liée à la – cybersécurité, le CERT Groupe BPCE a lancé un chantier de renouvellement de ces services cybersécurité à l’attention des établissements du Groupe. Outre le renouvellement des services de 2021 (Service Anti-Phishing, Surveillance des noms de domaine, Surveillance des applications mobiles frauduleuse, veille en vulnérabilités, veille malware, assistance sur incident et surveillance du Dark web), le Groupe a également souscrit à un service de surveillance des réseaux sociaux, ainsi qu’à un service de Cyber Notation et à service permettant aux établissements de disposer d’un programme de Bugbounty. Ce programme a pour objectif de soumettre à une communauté de chercheurs une ou des applications afin que ces derniers remontent des bugs, par un référentiel basé sur les logs proxy construit par le – CERT Groupe BPCE, afin d’alimenter les RSSI concernant les sites shadow. Ce référentiel sera envoyé de manière périodique afin d’alimenter les RSSI sur un référentiel à jour, en renforcement du dispositif de lutte contre la fraude – externe avec pour objectif de protéger les usagers de la banque. Actions réalisées : mise en production des règles communautaires issues des – modèles d’intelligence artificielle concernant les mises en réserves d’encaissement des chèques, pour l’ensemble des deux réseaux CE et BP. Travail durant le second semestre sur l’amélioration des variables permettant de limiter la gêne client tout en maintenant un bon niveau de détection des fraudes, travaux en cours pour la mise en place d’un score fraude – en complément des règles communautaires sur les mises en réserve d’encaissement, suite à la mise en production de FREGAT, outil de pilotage – des fraudes externes, réalisation du 1 er reporting semestriel de la Banque de France sur la fraude aux moyens de paiement scripturaux et du 1 er reporting de la filière fraude externe sur les données consolidées issues des établissements au S1 2021, sur toutes les typologies de fraude, réalisation de plusieurs formations d’expertise destinées – aux référents fraude externe ; Actions à poursuivre : renforcement de la détection en collaboration avec les – acteurs internes Groupe de lutte contre la fraude, fiabilisation des données FREGAT et complétude des – scénarios de fraude externe, développement de l’interopérabilité entre les différents – outils de lutte contre la fraude, ciblage d’actions de sensibilisation des clients et des – collaborateurs tant au niveau du Groupe BPCE qu’au niveau National (FBF) ;

garantir la Continuité d’Activité Groupe (CAG) : 5) la continuité d’activité du Groupe BPCE est organisée en – filière et pilotée par la Continuité d’Activité Groupe (CAG). Le responsable de la continuité d’activité Groupe (RCA-G) assure le pilotage de la filière Continuité d’Activité regroupant les responsables PCA/PUPA (RPCA/RPUPA) des Banques Populaires, des Caisses d’Epargne, des structures informatiques, de Natixis, de BPCE SA et des autres filiales. ADÉQUATION DU RÉFÉRENTIEL DÉCRIVANT LES ÉVOLUTIONS DU SI ET DES RESSOURCES À LA STRATÉGIE DE CYBERSÉCURITÉ La mise en œuvre de la stratégie de cybersécurité est inscrite dans un schéma directeur (référentiel qui décrit l’ensemble des évolutions des systèmes d’information et des ressources – humaines, matériels, logiciels) qui couvre la période 2021-2024 avec 129 projets identifiés sur la période pour un budget global de 74 millions sur quatre ans. En 2021, en dépit du contexte sanitaire, le déploiement de cette stratégie cybersécurité s’est poursuivi à un rythme soutenu au travers notamment des chantiers majeurs suivants : poursuite de la mise en œuvre, de la feuille de route de • gestion des identités et des droits (IAM) au travers d’un programme Groupe dédié dont les objectifs sont : de disposer de référentiels Groupe pour les personnes, les – applications et les organisations, de mettre en place une gouvernance IAM Groupe, – d’intégrer, si possible, toutes les applications du Groupe – dans l’IAM avec une attribution automatisée des droits d’accès et une vue consolidée des droits ; renforcement de la sécurité des accès aux SI du Groupe : • mise en œuvre et déploiement d’un portail d’authentification – unique pour les collaborateurs du Groupe, avec un niveau de sécurité élevé, tout en permettant une réduction importante des coûts ; Depuis janvier 2021, plus de 50 000 des 105 000 collaborateurs passent par ce portail pour l’ensemble de leurs accès, généralisation de l’authentification forte, depuis janvier 2021, – avec plus de 40 000 collaborateurs qui disposent d’un moyen d’authentification renforcée (Smartphone, biométrie, etc.) ; poursuite de l’exécution du plan de sensibilisation Groupe : • livraison d’un nouveau kit de sensibilisation à l’ensemble des – établissements du Groupe pour animer le mois de la Cyber Sécurité, composé notamment de : 4 vidéos sur les réseaux sociaux, – motion sur le Phishing, – règle d’or sur la cybersécurité, – 3 articles à publier sur les intranets concernant le cyber – mois et les sujets abordés ; une première expérimentation d’un escape game virtuel sur – la cybersécurité a été réalisée, réalisation de campagnes régulières de sensibilisation au – phishing auprès des collaborateurs du Groupe. Neuf campagnes menées en 2021 ciblant chacune entre 25 000 et 40 000 collaborateurs, publications de nouveaux e-learning sur le phishing et les – fondamentaux de la sécurité ; revue du modèle de sécurité des réseaux informatiques du • Groupe mise en place d’un nouveau modèle de sécurité des réseaux – de type « aéroport » permettant entre autres de contrôler la conformité aux exigences de sécurité des matériels et des utilisateurs accédant aux SI, ainsi qu’une protection plus

118

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2021 | GROUPE BPCE

www.groupebpce.com