BPCE - Rapport sur les risques Pilier III 2018

RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Sécurité des systèmes d’information (SSI)

Sécurité des systèmes d’information (SSI) 11.4

Organisation La direction Sécurité groupe (DS-G) définit, met en œuvre et fait évoluer les politiquesSSI groupe. Elle assure le contrôlepermanentet consolidéde la SSI ainsi qu’une veille techniqueet réglementaire.Elle initie et coordonneles projets groupe de réductiondes risques sur son domaine. La DS-G assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics. En tant qu’acteur du dispositif de contrôle permanent, le directeur Sécurité groupe est rattaché au département conformité sécurité et risques opérationnels. La direction Sécurité groupe entretient par ailleurs au sein de l’organe central des relations régulières avec la direction de l’Inspection générale du groupe. Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises. Travaux réalisés en 2018 La politique sécurité des systèmes d’information groupe (PSSI-G) matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la charte risques, conformité et contrôle permanentgroupe, de 391 règles classéesen dix-neuf thématiqueset trois documents d’instructions organisationnelles (1) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue.La révision 2018 de la PSSI-G prend notammenten compte les résultats des travaux d’évaluation de conformité et d’estimation du niveau d’enjeude chacunedes règles de la PSSI-G,menés au cours de l’année avec l’ensemble des établissements et l’évolution de l’organisation et de la gouvernance du groupe. Par ailleurs, le référentiel groupe de contrôle permanent SSI a fait l’objet d’une révision profonde et sera déployé en 2019 à l’ensemble des entreprises. Le dispositif de pilotage de la gouvernance et des risques SSI a été renforcé en 2018 notamment par l’intégration de nouvelles fonctionnalités dans la plate-forme Archer Groupe de cartographie des risquesSSI :

À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellementau RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que : toute nomination de responsable SSI soit notifiéeau RSSI-G ; ● la politique sécurité des systèmes d’information groupe soit ● adoptée au sein des entreprises et que les modalités d’application par chaque entreprise de la politique SSI groupe soit soumise à la validation du responsable SSI groupe préalablement à son approbation par la direction générale et à sa présentation au conseil d’administration ou au directoire de l’entreprise ; un reportingconcernantle niveau de conformitédes établissements ● à la politique SSI groupe, le contrôle permanent SSI, le niveau de risques SSI, les principauxincidentsSSI et les actions engagéessoit transmis au RSSIgroupe.

gestion de la PSSI-Gpermettantde piloter et d’animer : ● l’identificationpar chaque établissementdes règles de la PSSI-G - applicables àson périmètre(détourage), l’évaluation, par chaque établissement, de sa conformité aux - règles détourées dela PSSI-G, l’instructionpar chaque établissementde dérogationsportant sur - les règles détourées pour lesquelles un défaut de conformité est constaté;

gestion des plansd’actionSSI ; ● classification des actifs du SI. ●

Par ailleurs, dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), un dispositif d’accompagnementRGPD des projets a été mis en place y compris les projets digitaux avec un fonctionnement adapté au cycle de développement agile.

11

Fonctionnement de la filière SSI du Groupe BPCE, contrôle permanent SSI, classification des actifs sensibles du SI. (1)

205

Rapport sur les risques Pilier III 2018