Crédit Coopératif // Rapport annuel 2022

RAPPORT SUR LE GOUVERNEMENT D’ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Déclaration de performance extra-financière

g. Les dispositifs mis en œuvre dans le cadre du règlement européen relatif à la protection des données personnelles (RGPD) Le Crédit Coopératif s’inscrit dans le dispositif d’accompagnement RGPD des projets mis en place dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), y compris les projets digitaux : mise en place d’une politique de protection des données ● depuis 2020 avec le déploiement de la Charte Protection des données du Crédit Coopératif en 2022. Le traitement des demandes d’exercice de droits et des violations de données à caractère personnel fait l’objet de procédures diffusées sur le Kiosk de la Direction des Risques et de la Conformité ; intégration du suivi global de la conformité au RGPD dans ● l’outil DRIVE, également commun à la Sécurité des Systèmes d’information, à la lutte contre la cybercriminalité et à la continuité d’activité, exploitant ainsi de façon optimale les synergies entre ces différentes activités, a été engagée. Organisation (actions intégrées dans le plan Nouvelles Frontières 2025) nomination d’un Data Protection Officer (DPO) ; ● nomination de référents informatique et libertés (RIL) au sein ● des directions métier ; mise en œuvre d’un parcours de sensibilisation à la ● protection des données pour l’ensemble des collaborateurs. Une nouvelle campagne de sensibilisation des collaborateurs (formation obligatoire) a été réalisée en 2022, amenant un total de plus de 97.3 % des salariés formés sur les trois dernières années. Moyens déclinaison d’un programme groupe RGPD structuré en ● douze projets couvrant les différents thèmes : juridique/réglementaire, conformité, informatique, ressources humaines, process, sous-traitance ; élaboration d’une cartographie des traitements informatiques ● des données personnelles ; capitalisation sur les moyens déjà mis en œuvre pour la ● sécurité des systèmes d’information et la lutte contre la cybercriminalité : politique de sécurité des systèmes d’information (PSSI-G) matérialisant les exigences de sécurité, défense en profondeur notamment par la définition et la mise en œuvre de bonnes pratiques pour le développement sécurisé d’applications,

384 règles classées en vingt et une thématiques et trois documents d’instructions organisationnelles. En 2022, les travaux sur les chantiers suivants ont été menés : revue du détourage des règles suite à la publication par le ● Groupe BPCE, d’une nouvelle version de la PSSI-G dans l’outil groupe de gestion de la sécurité DRIVE ; revue de l’évaluation de la conformité aux règles de la PSSI-G ● détourées ; poursuite de l’exécution du plan de Sensibilisation Groupe : ● participation à l’élaboration du kit d’animation du mois de la 1. Cybersécurité et mise en œuvre de l’animation, participation aux campagnes Groupe de sensibilisation au 2. phishing. Le Crédit Coopératif a ainsi participé à neuf campagnes menées par le Groupe BPCE en 2021 et neuf en 2022. L’ensemble des collaborateurs du Crédit Coopératif a été ciblé. Les collaborateurs en situation d’échecs répétés ont été accompagnés avec une formation dédiée. Les collaborateurs des filiales ECOFI et ESFIN ont été intégrés aux campagnes Groupe BPCE de sensibilisation au phishing. Ces filiales ont ainsi participé à huit campagnes menées par le Groupe BPCE en 2022, participation au POC (Proof of concept) dans le cadre du 3. choix du nouvel outil de campagnes Groupe BPCE de sensibilisation au phishing, réalisation d’une sensibilisation sur les bonnes pratiques en 4. télétravail/mobilité ; mise à jour du référentiel des actifs métiers et revue de la ● cartographie des risques SSI du Crédit Coopératif. Un chantier Groupe BPCE est prévu en 2023, pour le déploiement du modèle TRM (Technology Risk Management) qui vise à améliorer l’évaluation, le suivi et le pilotage des risques (avec la mise en œuvre d’une approche par les risques dans la réalisation de la cartographie et des contrôles) en intégrant l’ensemble des thématiques risques cyber et informatiques ; outre les revues récurrentes des habilitations applicatives et ● de droits sur les ressources du SI, une revue des droits des membres externes des Groupes collaboratifs Microsoft Teams a été menée dans le cadre de la lutte contre la fuite de données ; poursuite du déploiement dans l’outil Groupe Drive du plan ● de contrôles permanents niveau 1 suite la publication par le Groupe BPCE du référentiel des contrôles permanents niveau 1 ; pour la réalisation des contrôles permanents sur le périmètre ● des prestataires externes, l’élaboration d’un questionnaire à destination de ces derniers a permis le recueil des preuves. Les contrôles permanents de niveau 1 et de niveau 2 ont ainsi été mise en œuvre et réalisés dans l’outil Groupe DRIVE. Un accompagnement des acteurs métiers a été réalisé pour la mise en œuvre dans Drive des contrôles permanents de niveau 1.

2

dispositifs d’identification des fuites d’information, dispositif collectif de vigilance cybersécurité, VIGIE, CERT ( Computer Emergency Response Team ).

Contrôles vérification de la mise en œuvre effective des règles de la ● PSSI-G au travers d’un dispositif de contrôle permanent réalisé par le Crédit Coopératif ; déploiement en 2020 du programme Groupe de contrôle ● permanent RGPD et finalisé en 2022.

101

GROUPE CRÉDIT COOPÉRATIF RAPPORT ANNUEL 2022