BPCE - Rapport sur les risques - Pilier III 2019

SÉCURITÉ DES SYSTÈMES D’INFORMATION (SSI) RISQUES DE NON-CONFORMITÉ ET SÉCURITÉ

LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ Avec la transformation digitale, l’ouverture des systèmes d’information du groupe sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.). De ce fait, le patrimoine du groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des data centers. En réponses à ces menaces, plusieurs actions ont été poursuivies en 2019, afin de renforcer les dispositifs de lutte contre la cybercriminalité : Renforcement de la détection des flux et des événements atypiques au sein des systèmes d’information (détection des cyberattaques) Constitution d’un Security Operation Center (SOC) groupe unifié intégrant un niveau 1, fonctionnant en 24x7 ; • Intégration du CERT (Computer Emergency Response Team) Groupe BPCE à la communauté InterCERT-FR animée par • l’ANSSI et à la communauté européenne TF-CSIRT ; Élargissement en 2019 de la communauté VIGIE, dispositif collectif de vigilance du groupe, aux Banques Populaires et Caisses • d’Epargne pour améliorer les échanges et la veille concernant les SI privatifs de ces établissements. Sensibilisation des collaborateurs à la cybersécurité Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2019 a été marquée par l’élaboration d’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en 2019 et par la participation au « mois européen de la cybersécurité ». Sur le périmètre de BPCE SA, dans le cadre des travaux sur les habilitations, 168 applications sont désormais intégrées dans le périmètre de revue des droits et des procédures de gestion des habilitations. À ces revues applicatives, s’ajoutent les revues de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.). De nouvelles campagnes de sensibilisation et de formation des collaborateurs ont par ailleurs été menées : parcours de formation RGPD pour les chefs de projets et responsables d’offre ; •

test de phishing et campagne de sensibilisation au phishing ; • participation aux réunions d’accueil des nouveaux collaborateurs. •

11

211

RAPPORT SUR LES RISQUES PILIER III 2019 | GROUPE BPCE