BPCE - Document d'enregistrement universel 2019

6

GESTION DES RISQUES

RISQUES DE NON-CONFORMITÉ ET SÉCURITÉ

FAITS MARQUANTS Le référentiel groupe de contrôle permanent SSI de niveau 2 a été déployé dans l’ensemble des établissements sur la plate-forme Archer de Gouvernance/Risques/Contrôle du groupe. En outre trois chantiers majeurs ont été engagés : définition d’un schéma directeur Sécurité groupe visant à • définir les ambitions du groupe en matière de cyber sécurité et prenant en compte la sécurité informatique, la continuité informatique ainsi que les chantiers IT de mise en conformité légale (GDPR, DSP2, etc..) ;

élaboration d’une feuille de route de gestion des identités et • des droits (IAM) groupe avec pour objectifs : de disposer de référentiels groupe pour les personnes, les – applications et les organisations, de mettre en place une gouvernance IAM groupe, – d’intégrer, si possible, toutes les applications du groupe – dans l’IAM avec un provisionnement automatique et une vue globale des habilitations ; réalisation d’une cartographie SSI exhaustive des systèmes • d’information du groupe incluant les systèmes d’information privatifs des établissements.

LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoine du groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des data centers. En réponses à ces menaces, plusieurs actions ont été poursuivies en 2019, afin de renforcer les dispositifs de lutte contre la cybercriminalité : Renforcement de la détection des flux et des événements atypiques au sein des systèmes d’information (détection des cyberattaques) Constitution d’un Security Operation Center (SOC) groupe unifié intégrant un niveau 1, fonctionnant en 24x7 ; • Intégration du CERT (Computer Emergency Response Team) Groupe BPCE à la communauté InterCERT-FR animée par • l’ANSSI et à la communauté européenne TF-CSIRT ; Élargissement en 2019 de la communauté VIGIE, dispositif collectif de vigilance du groupe, aux Banques Populaires et Caisses • d’Epargne pour améliorer les échanges et la veille concernant les SI privatifs de ces établissements. Sensibilisation des collaborateurs à la cybersécurité Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2019 a été marquée par l’élaboration d’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en 2019 et par la participation au « mois européen de la cybersécurité ». Sur le périmètre de BPCE SA, dans le cadre des travaux sur les habilitations, 168 applications sont désormais intégrées dans le périmètre de revue des droits et des procédures de gestion des habilitations. À ces revues applicatives, s’ajoutent les revues de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.). De nouvelles campagnes de sensibilisation et de formation des collaborateurs ont par ailleurs été menées : parcours de formation RGPD pour les chefs de projets et responsables d’offre ; •

test de phishing et campagne de sensibilisation au phishing ; • participation aux réunions d’accueil des nouveaux collaborateurs. •

650

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019 | GROUPE BPCE

www.groupebpce.com