BPCE - Document de référence 2018

GESTION DES RISQUES Risques de non-conformité, sécurité et risques opérationnels

Les principales lignes d’activité font également l’objet d’une révision régulière. Le groupe s’est également impliqué dans la résolution des principales crises, de la crue de Seine aux crises plus nombreuses liées au

dérèglement climatique. Le traitement des crises sanitaires est également sous surveillance.

Sécurité des systèmes d’information (SSI) 6.11.4

ORGANISATION La direction Sécurité groupe (DS-G) définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets groupe de réduction des risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité et risques opérationnels. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe. Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiée au RSSI-G ; ● la politique sécurité des systèmes d’information groupe soit ● adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reporting concernant le niveau de conformité des établissements ● à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI groupe.

TRAVAUX RÉALISÉS EN 2018 La politique sécurité des systèmes d’information groupe (PSSI-G) matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la charte risques, conformité et contrôle permanent groupe, de 391 règles classées en dix-neuf thématiques et trois documents d’instructions organisationnelles (1) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. La révision 2018 de la PSSI-G prend notamment en compte les résultats des travaux d’évaluation de conformité et d’estimation du niveau d’enjeu de chacune des règles de la PSSI-G, menés au cours de l’année avec l’ensemble des établissements et l’évolution de l’organisation et de la gouvernance du groupe. Par ailleurs, le référentiel groupe de contrôle permanent SSI a fait l’objet d’une révision profonde et sera déployé en 2019 à l’ensemble des entreprises. Le dispositif de pilotage de la gouvernance et des risques SSI a été renforcé en 2018 notamment par l’intégration de nouvelles fonctionnalités dans la plate-forme Archer Groupe de cartographie des risques SSI : gestion de la PSSI-G permettant de piloter et d’animer : ● l’identification par chaque établissement des règles de la PSSI-G - applicables à son périmètre (détourage), l’évaluation, par chaque établissement, de sa conformité aux - règles détourées de la PSSI-G, l’instruction par chaque établissement de dérogations portant sur - les règles détourées pour lesquelles un défaut de conformité est constaté ;

6

gestion des plans d’action SSI ; ● classification des actifs du SI. ●

Par ailleurs, dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), un dispositif d’accompagnement RGPD des projets a été mis en place y compris les projets digitaux avec un fonctionnement adapté au cycle de développement agile.

Fonctionnement de la filière SSI du Groupe BPCE, contrôle permanent SSI, classification des actifs sensibles du SI. (1)

687

Document de référence 2018