BPCE - Document de référence 2018

DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE Une création de valeur pérenne et responsable

l’évaluation, par chaque établissement, de sa conformité aux - règles détourées de la PSSI-G, l’instruction par chaque établissement de dérogations portant sur - les règles détourées pour lesquelles un défaut de conformité est constaté ;

PROTECTION DES DONNÉES ET CYBERSÉCURITÉ Organisation

2

La Direction Sécurité Groupe (DS-G) définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets groupe de réduction des risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité et risques opérationnels. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiée au RSSI-G ; ● la politique sécurité des systèmes d’information groupe soit ● adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reporting concernant le niveau de conformité des établissements ● à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI groupe. Travaux réalisés en 2018 La politique sécurité des systèmes d’information groupe (PSSI-G) matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la charte risques conformité et contrôle permanent groupe, de 391 règles classées en dix-neuf thématiques et trois documents d’instructions organisationnelles (1) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. La révision 2018 de la PSSI-G prend notamment en compte les résultats des travaux d’évaluation de conformité et d’estimation du niveau d’enjeu de chacune des règles de la PSSI-G, menés au cours de l’année avec l’ensemble des établissements et l’évolution de l’organisation et de la gouvernance du groupe. Par ailleurs, le référentiel groupe de contrôle permanent SSI a fait l’objet d’une révision profonde et sera déployé en 2019 à l’ensemble des entreprises. Le dispositif de pilotage de la gouvernance et des risques SSI a été renforcé en 2018 notamment par l’intégration de nouvelles fonctionnalités dans la plate-forme Archer Groupe de cartographie des risques SSI : gestion de la PSSI-G permettant de piloter et d’animer : ● l’identification par chaque établissement des règles de la PSSI-G - applicables à son périmètre (détourage),

gestion des plans d’action SSI ; ● classification des actifs du SI. ●

Les dispositifs mis en œuvre dans le cadre du règlement général de protection des données Dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), un dispositif d’accompagnement RGPD des projets a été mis en place, y compris les projets digitaux, avec un fonctionnement adapté au cycle de développement agile : Organisation nomination d’un Data Protection Officer (DPO) dans l’ensemble des ● établissements ; mise en place d’une filière protection des données personnelles ; ● nomination de Référents Informatique et Libertés (RIL) au sein des ● directions Métier dans les établissements du groupe en relais du DPO ; mise en place d’une formation pour l’ensemble des DPO du groupe ; ● définition et mise en œuvre d’un parcours de sensibilisation à la ● protection des données pour l’ensemble des collaborateurs du groupe. Moyens mise en œuvre d’un programme groupe RGPD structuré en ● 12 projets couvrant les différents thèmes : juridique/réglementaire, conformité, informatique, ressources humaines, process, sous-traitance ; cartographie des traitements informatiques des données ● personnelles ; mise en place d’un centre d’expertise mutualisé pour ● l’accompagnement et le support aux projets en matière de protection des données à caractère personnel : analyse de risques, identification de mesures de réduction des risques et de protection, etc. capitalisation sur les moyens déjà mis en œuvre pour la sécurité des ● systèmes d’information et la lutte contre la cyber criminalité : politique de sécurité des systèmes d’Information (PSSI-G) - matérialisant les exigences de sécurité du groupe, défense en profondeur notamment par la définition et la mise en - œuvre de bonnes pratiques pour le développement sécurisé d’applications,

dispositifs d’identification des fuites d’information, - dispositif collectif de vigilance cyber-sécurité, VIGIE, - CERT (Computer Emergency Response Team) groupe. -

Contrôles vérification de la mise en œuvre effective des règles de la PSSI-G au ● travers d’un dispositif de contrôle permanent réalisé par l’ensemble des établissements du groupe ;

Fonctionnement de la filière SSI du Groupe BPCE, contrôle permanent SSI, classification des actifs sensibles du SI. (1)

95

Document de référence 2018

Made with FlippingBook - Online catalogs