BPCE - Rapport sur les risques Pilier III 2018

11 RISQUES DE NON-CONFORMITÉ, SÉCURITÉ ET RISQUES OPÉRATIONNELS Sécurité des systèmes d’information (SSI)

Les dispositifsmis en œuvre pour lutter contre la cybercriminalité Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment ( cloud, big data , etc.). Plusieursde ces processussont progressivementdématérialisés.L’évolutiondes usages des collaborateurset des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoinedu groupe est sans cesse plus exposé aux cybermenaces.Ces attaquesvisent une cible bien plus large que les seuls systèmes d’information.Elles ont pour objectif d’exploiterles vulnérabilitéset les faiblessespotentiellesdes clients, des collaborateurs,des processus métier,des systèmesd’information ainsi que des dispositifs de sécurité des locaux et des datacenters . La BCE a mené en 2016 un audit cybersécuritéau sein du Groupe BPCE portant sur la gouvernancedu groupe en matière de risques, de cybersécurité et d’informatique,avec un focus spécifique sur la sécurité de la banque en ligne des Banques Populaires et des Caisses d’Epargne.Les recommandationsont ététransmises au Groupe BPCE à l’été 2017. Plusieurs actions ont étépoursuivies en 2018,afin de renforcerles dispositifs de lutte contre la cybercriminalité : Renforcementdes contrôles d’accèsaux applications En lien avec Natixis, le groupe a renforcé le dispositif, initié en 2015, de révision des droits d’accès aux SI transversaux (Natixis, BPCE) accordés aux établissements.Le nombre d’applications du périmètre de révision aété étenduà 58 applications en 2018. Renforcementde la détectiondes flux et des événementsatypiques au seindes systèmes d’information (détection descyberattaques) constitution d’un SecurityOperationCenter (SOC) groupeunifié intégrantun niveau 1,fonctionnant en 24x7 ; ● intégration duCERT ( ComputerEmergencyResponseTeam ) Groupe BPCE àla communautéInterCERT-FR animée par l’ANSSI; ● projet encours de renforcement de la présence au sein de communauté de CERT européenne ; ● élargissementplanifié début 2019 de la communautéVIGIE, dispositifcollectif de vigilancedu groupe, aux BanquesPopulaireset Caisses ● d’Epargne pouraméliorer les échangeset la veille concernant les SI privatifs de ces établissements. Sensibilisation des collaborateurs à la cybersécurité Outre le maintiendu socle commungroupe de sensibilisationdes collaborateursà la SSI, l’année 2018 a été marquéepar l’élaborationd’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en2019 et parla participation au «mois européen de la cybersécurité ». Sur le périmètre de BPCE SA, le vaste projet « habilitations » défini en 2010 a été poursuivi. En 2018, 194 applications sont désormais intégréesdans le périmètrede revue des droits et des procéduresde gestiondes habilitations.À ces revues applicatives,s’ajoutentles revues de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées,dossiers partagés, etc.). De nouvellescampagnes de sensibilisation des collaborateurs ont par illeurs étémenées: parcours de sensibilisation RGPD ; ● test de phishing et campagne desensibilisationau phishing ; ● participation auxréunionsd’accueil des nouveaux collaborateurs. ●

206

Rapport sur les risques Pilier III 2018