BPCE - Document d'enregistrement universel 2020

ÊTRE UN GROUPE RESPONSABLE DANS SES PRATIQUES INTERNES ET EXTERNES DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE

ÉVOLUTION DU NPS Le Net Promoter score représente la différence entre le nombre de promoteurs (note de 9 à 10) et le nombre de détracteurs (note de 0 à 6).

Particuliers

Professionnels

Entreprises

2020- 2019

2020- 2018 2020 2019 2018

2020- 2019

2020- 2018 2020 2019 2018

2020- 2019

2020- 2018

2020 2019 2018

Banque Populaire Caisse d’Epargne

+ 2

(4)

(10) (17)

+ 6 + 12 + 4 + 11

+ 7 + 1

(5) (7)

(12) (24)

+ 12 + 19 + 14

4 0

2 + 10 + 16

(6)

(10)

+ 8 + 25

+ 9

(10)

+ 9 + 19

2

SÉCURITÉ DES SYSTÈMES D’INFORMATION ET PROTECTION DES DONNÉES

renforcer en permanence ses capacités de détection et de • réaction face aux cyberattaquants ; renforcer les dispositifs de veille en matière de cybersécurité • notamment au travers du CERT (1) Groupe BPCE. MISE EN ŒUVRE Pour accélérer sa mise en œuvre, cette stratégie a été inscrite parmi les douze volets du Plan d’Action Tech et Digital et a bénéficié au titre de ce plan d’un budget additionnel de 16 millions d’euros. En 2020, en dépit du contexte sanitaire, le déploiement de cette stratégie cybersécurité s’est poursuivi à un rythme soutenu au travers notamment des chantiers majeurs suivants : premières mises en œuvre, de la feuille de route de gestion • des identités et des droits (IAM) au travers d’un programme groupe dédié dont les objectifs sont : de disposer de référentiels groupe pour les personnes, les – applications et les organisations, de mettre en place une gouvernance IAM groupe, – d’intégrer, si possible, toutes les applications du groupe – dans l’IAM avec une attribution automatisée des droits d’accès et une vue consolidée des droits ; renforcement de la sécurité des accès aux SI du groupe : • mise en œuvre et déploiement d’un portail d’authentification – unique pour les collaborateurs du groupe, avec un niveau de sécurité élevé, tout en permettant une réduction importante des coûts. À fin 2020, plus de 50 000 des 100 000 collaborateurs passent par ce portail pour l’ensemble de leurs accès, généralisation de l’authentification forte. À fin 2020, plus de – 40 000 collaborateurs disposent d’un moyen d’authentification renforcée (smartphone, biométrie, etc.) ; poursuite de l’exécution du Plan de Sensibilisation groupe : • livraison d’un nouveau kit de sensibilisation à l’ensemble des – établissements du groupe pour animer le mois de la cyber sécurité, composé notamment de cinq vidéos didactiques, de deux podcasts, de dix fiches « Règles d’or » et d’une affiche, généralisation du déploiement opérationnel de l’outil – d’auto-formation des développeurs pour le développement d’applications sécurisées sans vulnérabilités. 690 développeurs, soit 95 % de la cible, ont réalisé l’intégralité du parcours d’auto-formation, réalisation de campagnes régulières de sensibilisation au – phishing auprès des collaborateurs du groupe. Neuf campagnes menées en 2020 ciblant chacune entre 34 000 et 48 000 collaborateurs, développement de contenu de sensibilisation des clients, 29 – FAQ (foire aux questions) produites,

La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles, de ses clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes sont des objectifs majeurs au cœur des préoccupations du Groupe BPCE. En effet le groupe place la confiance au cœur de sa transformation digitale et considère que la cybersécurité est un vecteur essentiel au service de ses métiers. STRATÉGIE CYBERSÉCURITÉ Pour accompagner les nouveaux défis de la transformation digitale et atteindre ses objectifs, le groupe s’est doté d’une stratégie cybersécurité reposant sur cinq piliers : soutenir la transformation digitale et le développement du • groupe : sensibiliser et accompagner nos clients sur la maîtrise des – risques cyber, accélérer et homogénéiser l’accompagnement sécurité, – protection des données à caractère personnel et fraude dans les projets métier avec un niveau de sécurité adapté dans le cadre d’une approche sécurité et protection des données dès la conception des nouvelles offres de des nouveaux produits, améliorer l’expérience utilisateur en matière de sécurité – digitale tant pour les clients que pour les collaborateurs ; gouverner et se conformer aux réglementations : • déployer la gouvernance et le cadre de référence commun – de sécurité, renforcer et automatiser les contrôles permanents, – définir un modèle d’appétit au risque pour le pilotage du – risque cyber, gérer les risques apportés par les tiers (partenaires, – prestataires, etc.) y compris en matière de protection des données personnelles ; améliorer continûment la connaissance des actifs de son • système d’information et renforcer leur protection : appliquer et renforcer les fondamentaux de la sécurité, – renforcer la protection des actifs les plus sensibles en – cohérence avec le modèle d’appétit au risque, et en particulier la protection des données, mettre en place une gouvernance renforcée des identités, – c’est-à-dire des personnes (collaborateurs, prestataires, partenaires, etc.) accédant à ses systèmes d’information et des habilitations qui leur sont affectées, développer une culture cyber au sein du groupe et les outils – et méthodes associés selon les populations ;

sensibilisation au règlement RGPD suivie par tous les – nouveaux entrants. Une formation spécifique pour les chefs de projet a également été déployée au sein de l’organe central ; (1) CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) : Centre d’alerte et de réaction aux attaques informatique.

103

DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020 | GROUPE BPCE