BPCE_PILIER_III_2017_FR

RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Sécurité des systèmes d’information (SSI)

Sécurité des systèmes d’information (SSI) 11.6

Organisation La direction Sécurité groupe (DS-G), créée le 1 er septembre 2017, définit, met en œuvre et fait évoluer les politiques SSI groupe. Elle assure le contrôlepermanentet consolidéde la SSI ainsi qu’une veille techniqueet réglementaire.Elle initie et coordonneles projets groupe de réduction des risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité et risques opérationnels. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. Travaux réalisés en 2017 La politique sécurité des systèmes d’information groupe (PSSI-G) matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la charte risques conformité et contrôle permanentgroupe, de 430 règles classéesen dix-neuf thématiqueset trois documents d’instructions organisationnelles (1) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue.La révision 2017 de la PSSI-G prend notammenten compte les évolutions légales et réglementaires (loi de programmation militaire, nouvelle directive sur les services de paiement, règlement européen de protection des données) et l’évolution de l’organisation et de la gouvernance du groupe. Par ailleurs, le référentiel groupe de contrôle permanent SSI a égalementfait l’objet d’une révisionprofondeet sera déployéen 2018 à l’ensemble des entreprises. Le dispositifde cartographiedes risquesSSI a été renforcéen 2017:

À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellementau RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiéeau RSSI-G ; ● la politique sécurité des systèmes d’information groupe soit ● adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reportingconcernantle niveau de conformitédes établissements ● à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principauxincidentsSSI et les actions engagéessoit transmis au RSSIgroupe. ouverture opérationnelle de la plate-forme Archer groupe de ● cartographie des risques SSI aux entreprises du groupe ; convergence des référentiels au sein de la filière SSI ; ● articulation avec les risques opérationnels. ● La direction Sécurité groupe a également repris le pilotage du programme groupe de mise en œuvre des exigences du règlement européenrelatif à la protectiondes donnéespersonnelles(RGPD) pour lequel douze chantiers ont été identifiés (organisation globale et normes,constructionoutilléed’un registrehomogènedes traitements, prise en compte des exigencesdu RGPD dans les projets, formationet sensibilisation,etc.) Dans le cadre de la transformationdigitale du groupe un dispositif d’accompagnementSSI des projets digitaux a été mis en place avec un fonctionnementadapté au cycle de développement agile.

11

Fonctionnement de la filière SSI du Groupe BPCE, contrôle permanent SSI, classification des actifs sensibles du SI. (1)

195

Rapport sur les risques Pilier III 2017