Crédit Coopératif // Rapport annuel 2022

RAPPORT SUR LE GOUVERNEMENT D’ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Gestion des risques

Cette charte SSI s’applique au Crédit Coopératif et à BTP Banque, filiale du Crédit Coopératif, ainsi qu’à toute entité tierce, par le biais de conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif. L’application à la filiale BTP Banque (établissement MySys) se fait suivant les mêmes modalités que celles appliquées au Crédit Coopératif. À cette charte SSI se rattachent les 384 règles de sécurité issues de la PSSI-G, qui ont fait l’objet d’un détourage permettant de déterminer le périmètre sous la responsabilité du Crédit Coopératif. Ainsi 152 règles de la PSSI-G sont sous la responsabilité opérationnelle du Crédit Coopératif. La PSSI-G et le détourage des règles de la PSSI-G permettant de déterminer le périmètre sous la responsabilité du Crédit Coopératif font l’objet d’une révision annuelle, dans le cadre d’un processus d’amélioration continue. Sensibilisation des collaborateurs à la cybersécurité Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année a été marquée par la poursuite des campagnes de sensibilisation au phishing et par le renouvellement de la participation au « mois européen de la cybersécurité ». Sur le périmètre de BPCE SA, outre les revues récurrentes des habilitations applicatives et de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.), la surveillance de l’ensemble des sites web publiés sur Internet et le suivi des plans de traitement des vulnérabilités sont renforcés ainsi que la surveillance du risque de fuite de données par mail ou l’utilisation de service de stockage et d’échange en ligne. Le Crédit Coopératif a déployé le dispositif Groupe de campagnes de sensibilisation au phishing. Il a fait le choix d’une campagne mensuelle pour maintenir une vigilance permanente de tous les collaborateurs. Ce dispositif fait l’objet d’un pilotage au niveau de la gouvernance, avec un dispositif de suivi des résultats, de nouvelles formations complémentaires et éventuellement de sanction pour les collaborateurs affichant un comportement à risque. Cette approche a permis à l’établissement d’améliorer ses indicateurs sur la cybersécurité et de créer de vrais réflexes ; ainsi, le nombre d’alerte phishing sur des cas réels est désormais supérieur aux volumes de campagnes de sensibilisation. Le dispositif comporte également un module de formation lors des réunions d’accueil des nouveaux collaborateurs ; elle intègre notamment les menaces et risques liés aux situations de télétravail. 9.9.3 Un dispositif de pilotage global des revues de sécurité et tests d’intrusion a été mis en place pour couvrir 100 % des actifs critiques des SI sur des cycles de 4 ans. Ce dispositif permet désormais de consolider l’ensemble des vulnérabilités identifiées dans le cadre des revues de sécurité et tests d’intrusion ainsi que les plans de remédiation liés dans DRIVE pour un suivi centralisé. En 2022, le chantier d’élaboration de la cartographie SSI de l’ensemble des SI du Groupe s’est poursuivi. À ce titre, chaque établissement du Groupe, au regard de son rôle et de son contexte, a pour objectif de dresser la cartographie SSI des SI dont il est en charge opérationnellement en s’appuyant sur la méthodologie groupe articulant les approches SSI avec celle des métiers. Travaux réalisés en 2022

Un référentiel de contrôle permanent de niveau 1 a été spécifié et mis à disposition de l’ensemble des établissements. La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles de ses clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes, sont des objectifs majeurs au cœur des préoccupations du Crédit Coopératif. Le Crédit Coopératif a déployé la politique sécurité des systèmes d’information Groupe BPCE (PSSI-G) qui matérialise les exigences de sécurité. La PSSI-G appliquée est composée d’un cadre SSI adossé à la Charte risques conformité et contrôle permanent groupe, de 391 règles classées en dix-neuf thématiques et trois documents d’instructions organisationnelles. En 2022, les travaux sur les chantiers suivants ont été menés : revue du détourage des règles de la PSSI-G dans l’outil groupe ● DRIVE ; poursuite de l’exécution du plan de Sensibilisation Groupe : ● participation à l’élaboration du kit d’animation du mois de la 1. Cybersécurité et mise en œuvre de l’animation, participation aux campagnes Groupe de sensibilisation au 2. phishing. Le Crédit Coopératif a ainsi participé à neuf campagnes menées par le Groupe BPCE en 2020 et neuf en 2021. L’ensemble des collaborateurs du Crédit Coopératif a été ciblé. Les collaborateurs en situation d’échecs répétés ont été accompagnés avec une formation dédiée. poursuite du chantier Cartographie des risques ● SSI conformément au planning du Groupe BPCE. Le lot 2 des 18 processus métiers moins sensibles a ainsi été traité et l’outil Groupe DRIVE mis à jour. Des actions ont ainsi été menées sur : Les actifs métiers, les actifs supports et leur classification, 1. les situations de risques métiers et la cotation de leurs 2. impacts, Les vulnérabilités et leur cotation, 3. Les risques SSI générés dans l’outil Groupe DRIVE ; 4. outre les revues récurrentes des habilitations applicatives et ● de droits sur les ressources du SI, une revue des droits des prestataires a été menée dans le cadre de la lutte contre la fuite de données ; déploiement de contrôles permanents de niveau 1 dans l’outil ● Groupe DRIVE et accompagnement des opérateurs dans la mise en œuvre. La situation de crise sanitaire liée à l’épidémie de la Covid-19 a engendré une intensification du recours au télétravail. Pour la réduction des risques liés à cette situation, la RSSI du Crédit Coopératif a mis en place les mesures suivantes : guide de bonnes pratiques SSI, diffusé à l’ensemble des ● collaborateurs ; communications à l’ensemble des collaborateurs sur la ● sécurisation de l’information et de son échange ; communications aux collaborateurs et sur les sites clients en ● fonction de la veille SSI ; suivi des accès distants des collaborateurs ; ● traitement des alertes remontées par les collaborateurs. ●

2

189

GROUPE CRÉDIT COOPÉRATIF RAPPORT ANNUEL 2022