BPCE - Document de référence 2018

6 GESTION DES RISQUES

Risques de non-conformité, sécurité et risques opérationnels

Les dispositifs mis en œuvre pour lutter contre la cybercriminalité Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment ( cloud, big data , etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoine du groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des datacenters . La BCE a mené en 2016 un audit cybersécurité au sein du Groupe BPCE portant sur la gouvernance du groupe en matière de risques, de cybersécurité et d’informatique, avec un focus spécifique sur la sécurité de la banque en ligne des Banques Populaires et des Caisses d’Epargne. Les recommandations ont été transmises au Groupe BPCE à l’été 2017. Plusieurs actions ont été poursuivies en 2018, afin de renforcer les dispositifs de lutte contre la cybercriminalité : Renforcement des contrôles d’accès aux applications En lien avec Natixis, le groupe a renforcé le dispositif, initié en 2015, de révision des droits d’accès aux SI transversaux (Natixis, BPCE) accordés aux établissements. Le nombre d’applications du périmètre de révision a été étendu à 58 applications en 2018. Renforcement de la détection des flux et des événements atypiques au sein des systèmes d’information (détection des cyberattaques) constitution d’un Security Operation Center (SOC) groupe unifié intégrant un niveau 1, fonctionnant en 24x7 ; ● intégration du CERT ( Computer Emergency Response Team ) Groupe BPCE à la communauté InterCERT-FR animée par l’ANSSI ; ● projet en cours de renforcement de la présence au sein de communauté de CERT européenne ; ● élargissement planifié début 2019 de la communauté VIGIE, dispositif collectif de vigilance du groupe, aux Banques Populaires et Caisses ● d’Epargne pour améliorer les échanges et la veille concernant les SI privatifs de ces établissements. Sensibilisation des collaborateurs à la cybersécurité Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2018 a été marquée par l’élaboration d’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en 2019 et par la participation au « mois européen de la cybersécurité ». Sur le périmètre de BPCE SA, le vaste projet « habilitations » défini en 2010 a été poursuivi. En 2018, 194 applications sont désormais intégrées dans le périmètre de revue des droits et des procédures de gestion des habilitations. À ces revues applicatives, s’ajoutent les revues de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.). De nouvelles campagnes de sensibilisation des collaborateurs ont par ailleurs été menées : parcours de sensibilisation RGPD ; ●

test de phishing et campagne de sensibilisation au phishing ; ● participation aux réunions d’accueil des nouveaux collaborateurs. ●

688

Document de référence 2018