BPCE_PILIER_III_2017_FR

11 RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Sécurité des systèmes d’information (SSI)

   LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment ( cloud, big data, etc.). Plusieursde ces processussont progressivementdématérialisés.L’évolutiondes usages des collaborateurset des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoinedu groupe est sans cesse plus exposé aux cybermenaces.Ces attaquesvisent une cible bien plus large que les seuls systèmes d’information.Elles ont pour objectif d’exploiterles vulnérabilitéset les faiblessespotentiellesdes clients, des collaborateurs,des processus métier,des systèmesd’information ainsi que des dispositifs de sécurité des locaux et des datacenters. La BCE a mené en 2016 un audit cybersécuritéau sein du Groupe BPCE portant sur la gouvernancedu groupe en matière de risques, de cybersécurité et d’informatique,avec un focus spécifique sur la sécurité de la banque en ligne des Banques Populaires et des Caisses d’Epargne.Les recommandationsont ététransmises au Groupe BPCE à l’été 2017. Plusieurs actions ont étépoursuivies en 2017,afin de renforcerles dispositifs de lutte contre la cybercriminalité : Renforcement des contrôles d’accès aux applications En lien avec Natixis, le groupe a renforcé le dispositif, initié en 2015, de révision des droits d’accès aux SI transversaux (Natixis, BPCE) accordés aux établissements.Le nombre d’applications du périmètre de révision aété étenduà 29 applications en 2017. Renforcement de la détection des flux et des événements atypiques au sein des systèmes d’information (détection des cyberattaques) Mise en œuvre de dispositifs de détection de compromissiondes postes client qui outre la prévention directe de fraudes, permettent ● également d’alimenter les scénarios de détection traités par le SOC (securityoperationscenter) . Création du CERT (computer emergency response team) Groupe BPCE permettant d’étendre la veille et de renforcer le partage ● d’information sur les incidents, les fraudes et tentatives de fraude. Le dispositifcollectif de vigilancecybersécuritédu groupe, VIGIE, mis en place en 2014 a été étendu avec plus de 70 veilleurs issus de tous les établissements dugroupe. En 2017 ce dispositif apermis, en particulier,de lutter efficacementcontre les attaques Wannacry et Petya . Sensibilisation des collaborateurs à la cybersécurité Le socle commun à l’ensembledu groupe de sensibilisationdes collaborateursà la SSI a été complété en 2016 par le serious game réalisé par le CIGREF (club informatique des grandes entreprises françaises) et mis à disposition des établissementsdu groupe. Deux films de sensibilisation (auxattaques dites avancées et au phishing ) ont également été réalisés. Sur le périmètre de l’établissementBPCE, le vaste projet Habilitationsdéfini en 2010 a été poursuivi. En 2017, 115 applicationsont fait

l’objet d’une revue des droits et d’une révision des procédures de gestion des habilitations. De nouvellescampagnes de sensibilisation des collaborateurs ont par illeurs étémenées: campagne de formation SeriousGame – Sécurité duSI ; ● test de phishing et campagne desensibilisationau phishing ; ● participation auxréunionsd’accueil des nouveaux collaborateurs. ●

196

Rapport sur les risques Pilier III 2017