BPCE_DOCUMENT_REFERENCE_2017

GESTION DES RISQUES Risques de non-conformité, sécurité et risques opérationnels

piloter la réalisationet le maintien en conditionopérationnelledes ● plans d’urgence et de poursuite d’activité groupe ; veiller au respect des dispositions réglementaires en matière de ● continuité d’activité; participer aux instances internes et externes au groupe. ● TRAVAUX RÉALISÉS EN 2017 L’importance prise par le digital dans les activités de la banque et l’augmentationdu risque de cybercriminaliténécessite l’élaboration d’une réponse spécifiqueà la gestion des urgences et de la poursuite d’activité face à la menace cyber, co-construit avec les filières concernées. L’élaboration d’un plan d’urgence et de poursuite d’activité (PUPA) cyber aété engagéeen 2017. ORGANISATION La direction Sécurité groupe (DS-G), créée le 1 er septembre 2017, définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôlepermanentet consolidéde la SSI ainsi qu’une veille techniqueet réglementaire.Elle initie et coordonneles projets groupe de réduction des risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité et risques opérationnels. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellementau RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiéeau RSSI-G ; ● la politique sécurité des systèmes d’information groupe soit ● adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reportingconcernantle niveau de conformitédes établissements ● à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principauxincidentsSSI et les actions engagéessoit transmis au RSSIgroupe.

La gouvernance de crise groupe, qui assure une coordination renforcée face aux événements impliquant plusieurs entreprises du groupe, voire leurs fournisseurs,se dote d’une cellule de surveillance pluridisciplinaire, adaptée au traitement des incidents en mode collaboratif.Le processusde gestion des incidentsgrave groupe a été finalisé en 2017. La nouvelleorganisationde suivi des fournisseurspar l’organecentral, au bénéfice des entreprises du groupe, a été mise en place en juin 2017. Elle repose sur un modèle décentralisé dans les filières métiers, pour bénéficier au mieux des connaissancesopérationnelles des parties prenantes, mais respectant une démarche commune, garant d’un traitement homogène. Les dispositions de continuité sont régulièrement présentées au comité de pilotage duPUPA du groupe. TRAVAUX RÉALISÉS EN 2017 La politique sécurité des systèmes d’information groupe (PSSI-G) matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la charte risques conformité et contrôle permanentgroupe, de 430 règles classéesen dix-neuf thématiqueset trois documents d’instructions organisationnelles (1) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue.La révision 2017 de la PSSI-G prend notammenten compte les évolutions légales et réglementaires (loi de programmation militaire, nouvelle directive sur les services de paiement, règlement européen de protection des données) et l’évolution de l’organisation et de la gouvernance du groupe. Par ailleurs, le référentiel groupe de contrôle permanent SSI a égalementfait l’objet d’une révisionprofondeet sera déployéen 2018 à l’ensemble des entreprises. Le dispositifde cartographiedes risquesSSI a été renforcéen 2017: ouverture opérationnelle de la plate-forme Archer groupe de ● cartographie des risques SSI aux entreprises du groupe ; convergence des référentiels au sein de la filière SSI ; ● articulation avec les risques opérationnels. ● La direction Sécurité groupe a également repris le pilotage du programme groupe de mise en œuvre des exigences du règlement européenrelatif à la protectiondes donnéespersonnelles(RGPD) pour lequel douze chantiers ont été identifiés (organisation globale et normes,constructionoutilléed’un registrehomogènedes traitements, prise en compte des exigencesdu RGPD dans les projets, formationet sensibilisation,etc.) Dans le cadre de la transformationdigitale du groupe un dispositif d’accompagnementSSI des projets digitaux a été mis en place avec un fonctionnementadapté au cycle de développement agile.

3

Sécurité des systèmes d’information (SSI) 3.11.6

Fonctionnement de la filière SSI du Groupe BPCE, contrôle permanent SSI, classification des actifs sensibles du SI. (1)

199

Document de référence 2017