BPCE - Document de référence 2018

2 DÉCLARATION DE PERFORMANCE EXTRA-FINANCIÈRE Une création de valeur pérenne et responsable

Renforcement de la détection des flux et des événements atypiques au sein des systèmes d’information (détection des cyberattaques) : constitution d’un Security Operation Center (SOC) groupe unifié ● intégrant un niveau 1, fonctionnant en 24x7 ; intégration du CERT Groupe BPCE à la communauté InterCERT-FR ● animée par l’ANSSI ; projet en cours de renforcement de la présence au sein de ● communauté de CERT européenne ; élargissement planifié début 2019 de la communauté VIGIE, ● dispositif collectif de vigilance du groupe, aux établissements bancaires Banques Populaires et Caisses d’Epargne pour améliorer les échanges et la veille concernant les SI privatifs de ces établissements. Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2018 a été marquée, pour le groupe, par l’élaboration d’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en 2019 et par la participation au « mois européen de la cybersécurité ». Sur le périmètre de l’établissement BPCE, le vaste projet « habilitations » défini en 2010 a été poursuivi. En 2018, 194 applications sont désormais intégrées dans le périmètre de revue des droits et des procédures de gestion des habilitations, dont 165 (1) effectivement revues en 2018. À ces revues applicatives, s’ajoutent les revues de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.). De nouvelles campagnes de sensibilisation des collaborateurs ont par ailleurs été menées : parcours de sensibilisation RGPD ; ● test de phishing et campagne de sensibilisation au phishing ; ● participation aux réunions d’accueil des nouveaux collaborateurs. ● Sensibilisation des collaborateurs à la cybersécurité

spécification d’un référentiel groupe de contrôle permanent RGPD ● destiné à vérifier l’application des exigences groupe de protection des données à caractère personnel. Les dispositifs mis en œuvre pour lutter contre la cybercriminalité Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment ( cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoine du groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des datacenters. La BCE a mené en 2016 un audit cybersécurité au sein du Groupe BPCE portant sur la gouvernance du groupe en matière de risques, de cybersécurité et d’informatique, avec un focus spécifique sur la sécurité de la banque en ligne des Banques Populaires et des Caisses d’Epargne. Les recommandations ont été transmises au Groupe BPCE à l’été 2017. Plusieurs actions ont été poursuivies en 2018, afin de renforcer les dispositifs de lutte contre la cybercriminalité :

Renforcement des contrôles d’accès aux applications

En lien avec Natixis, le groupe a renforcé le dispositif, initié en 2015, de révision des droits d’accès aux SI transversaux (Natixis, BPCE) accordés aux établissements. Le nombre d’applications du périmètre de révision a été étendu à 58 applications en 2018.

Parmi les applications identifiées certaines sont inactives (11), certaines n’ont aucun utilisateur (6), certaines sont en doublon (5), certaines ne sont que des briques techniques (3) et d’autres (1) ne sont qu’à l’état de projet.

96

Document de référence 2018