BPCE - Document d'enregistrement universel 2019

ÊTRE UN GROUPE RESPONSABLE DANS SES PRATIQUES INTERNES ET EXTERNES DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

Organisation DIRECTION SÉCURITÉ GROUPE (DS-G)

accélérer et homogénéiser l’accompagnement sécurité, – RGPD et fraude dans les projets métier avec un niveau de sécurité adapté dans le cadre d’une approche Security by Design / Privacy by Design et Privacy by Default , améliorer l’expérience sécurité digitale client et – collaborateur, faciliter un usage sécurisé du cloud public ; – gouverner et se conformer aux réglementations : • déployer la gouvernance et le cadre de référence commun – de sécurité, renforcer et automatiser les contrôles permanents, – développer un Risk Appetite Framework , – gérer les risques apportés par les tiers y compris en matière – de protection des données personnelles ; améliorer continûment la connaissance des actifs de son • système d’information et renforcer leur protection : appliquer et renforcer les fondamentaux de la sécurité, – renforcer la protection des actifs les plus sensibles en – cohérence avec le risk appetite framework , en particulier la data, mettre en place une gouvernance des identités et des – accès, développer une culture cyber au sein du groupe et les outils – et méthodes associés selon les populations ; renforcer en permanence ses capacités de détection et de • réaction face aux cyberattaquants : renforcer les dispositifs de veille notamment au travers du – CERT Groupe BPCE. En 2019, la mise en œuvre de cette stratégie cybersécurité s’est matérialisée au travers notamment des chantiers majeurs suivants : définition d’un schéma directeur sécurité groupe visant à • définir les ambitions du groupe en matière de cyber sécurité et prenant en compte la sécurité informatique, la continuité informatique ainsi que les chantiers IT de mise en conformité légale [RGPD (1) , DSP2 (2) , etc.] ; enrichissement de la cartographie SSI de l’exhaustivité des SI • du groupe incluant les systèmes d’information privatifs des établissements y compris le shadow IT. La cible d’achèvement de ce chantier est fixée à la fin de l’année 2020 avec comme objectif intermédiaire que la cartographie SSI des SI supportant les 28 processus métier les plus critiques soient achevée à la fin du premier semestre 2020 ; élaboration d’une feuille de route de gestion des identités et • des droits (IAM) groupe avec pour objectifs : de disposer de référentiels groupe pour les personnes, les – applications et les organisations, de mettre en place une gouvernance IAM groupe, – d’intégrer, si possible, toutes les applications du groupe – dans l’IAM avec une alimentation automatique et une vue globale des habilitations ; définition et première exécution du Plan de Sensibilisation • groupe : livraison d’un kit de sensibilisation à l’ensemble des – établissements du groupe pour animer le mois de la Cybersécurité, déploiement d’un outil de formation continue au – développement sécurisé des applications pour les développeurs des opérateurs informatiques du groupe, réalisation de campagnes de sensibilisation au phishing – auprès de 30 000 collaborateurs de 32 établissements du groupe,

La Direction Sécurité groupe (DS-G) définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets groupe de réduction des risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité groupe au sein du secrétariat général groupe. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe. Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiée au RSSI-G ; • la politique sécurité des systèmes d’information groupe soit • adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reporting concernant le niveau de conformité des • établissements à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI groupe. PROTECTION DES DONNÉES chaque établissement est doté d’un data protection officer • (DPO) fonctionnellement rattaché au coordinateur DPO groupe ; ce coordinateur DPO groupe a pour mission d’animer la filière • protection des données personnelles ; des Référents Informatique et Libertés (RIL) sont nommés au • sein des directions Métier dans les établissements du groupe en relais du DPO ; sur les sujets de protections des données personnelles à • destination des DPO et des collaborateurs du groupe un dispositif de formation est en place. À fin 2019 le taux de nouveaux projets communautaires bénéficiant d’un accompagnement SSI et Privacy s’élève à 87 %. Stratégie cybersécurité Pour accompagner les nouveaux défis de la transformation IT et atteindre ses objectifs, le groupe s’est doté d’une stratégie cybersécurité reposant sur quatre piliers : soutenir la transformation digitale et le développement du • groupe : sensibiliser et accompagner nos clients sur la maîtrise des – risques cyber,

2

(1) Réglement général de protection des données (2) Directive européenne sur les services de paiement version 2

93

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019 | GROUPE BPCE

Made with FlippingBook Ebook Creator