Rapport annuel 2023

RAPPORT SUR LE GOUVERNEMENT D’ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Gestion des risques

9.8 Risques de sécurité

Continuité d’activité 9.8.1 La maîtrise des risques d’interruption d’activité est abordée dans sa dimension transversale, avec l’analyse des principales lignes métiers critiques, notamment la liquidité, les moyens de paiement, les titres, les crédits aux particuliers et aux entreprises, ainsi que le fiduciaire. d’activité La gestion du PCA/PUPA du Groupe BPCE est organisée en filière, pilotée par la continuité d’activité Groupe, au sein du Département Sécurité Groupe du Secrétariat Général Groupe. Le Responsable de la Continuité d’activité (RCA-G) Groupe BPCE, a pour mission de : piloter la continuité d’activité Groupe et animer la filière au ● sein du Groupe BPCE ; coordonner la gestion de crise Groupe ; ● piloter la réalisation et le maintien en condition opérationnelle ● des plans d’urgence et de poursuite d’activité groupe ; veiller au respect des dispositions réglementaires en matière ● de continuité d’activité ; participer aux instances internes et externes au Groupe BPCE. ● Les projets d’amélioration se sont poursuivis avec pour point commun : la rationalisation des processus et le renforcement des ● dispositifs ; la conformité aux textes européens sur la résilience ● opérationnelle. Les RPCA/RPUPA des établissements du Groupe sont rattachés fonctionnellement au RCA Groupe et les nominations des RPCA/RPUPA lui sont notifiées. Le Cadre Continuité d’Activité Groupe définit la gouvernance de la filière, assurée par trois niveaux d’instances, mobilisées selon la nature des orientations à prendre ou des validations à opérer : les instances de décision et de pilotage Groupe auxquelles ● participe le RCA-Groupe pour valider les grandes orientations et obtenir les arbitrages nécessaires ; le Comité filière de continuité d’activité, instance de ● coordination opérationnelle ; la plénière de continuité d’activité Groupe, instance plénière ● nationale de partage d’informations et de recueil des attentes. Le cadre de référence CCA-G (Cadre Continuité d’Activité Groupe) du Crédit Coopératif a été décliné et validé au sein de l’établissement par le Comité exécutif des Risques du 15 décembre 2020. La Continuité d’Activité Groupe définit, met en œuvre et fait évoluer autant que de besoin la politique de continuité d’activité Groupe. Organisation et pilotage de la continuité 9.8.1.1

Le RPUPA est rattaché hiérarchiquement au Département Sécurités et Risques Opérationnels, au sein de la Direction des Risques et de la Conformité. Il mène sa mission en relation avec les directions supports (Informatique, DRH (incluant également la Communication interne), Communication Externe, Sécurité et Moyen généraux) et anime un réseau de correspondants PUPA au sein des métiers qui sont en charge de veiller au maintien en condition opérationnelle du PUPA sur leur périmètre respectif. Le Comité exécutif des Risques assure le pilotage du dispositif de Continuité d’Activité au sein du Groupe Crédit Coopératif. Le suivi opérationnel est effectué lors de réunions régulières réunissant le RPUPA, sa suppléante et le responsable du service Sécurités et Risques Opérationnel. Le RPUPA est également partie prenante dans le processus de gestion d’alertes et de crises mis en place au sein du Crédit Coopératif permettant la prise en charge, le cas échéant à l’aide d’une Cellule de Crise Décisionnelle, des incidents perturbateurs à forts impacts. La stratégie de continuité adoptée vise à permettre la reprise des activités essentielles suivant les délais maximums d’interruption d’activité exprimés par les métiers en activant les solutions de continuité ad hoc selon les cas de sinistres envisagés. Ces solutions, qui consistent principalement en l’utilisation d’un dispositif de secours informatique (gérer par le prestataire BPCE-IT) et d’un dispositif de repli collaborateurs, sont mises en œuvre à l’aide de différents plans support, plans métier et un plan de gestion de crise, qui constituent les différentes composantes du Plan d’urgence et de poursuite d’activité. Afin de tenir compte des diverses évolutions tant au niveau de l’organisation, du personnel, des activités que des ressources informatiques, une actualisation annuelle de ces plans est effectuée dans le cadre du maintien en condition opérationnelle par les correspondants PUPA sous la responsabilité des responsables opérationnels (les fonctions sont la plupart du temps cumulées par le manager du service concerné). Ainsi, au Crédit Coopératif, conformément aux procédures établies, une campagne de mise à jour est initiée annuellement auprès des différents contributeurs. Par ailleurs, afin d’en assurer la validité opérationnelle, les différentes composantes du Plan d’urgence et de poursuite d’activité sont éprouvées dans le cadre d’un plan d’exercices pluriannuel sur quatre ans, qui prévoit entre autres, de faire participer tous les ans à un exercice, les unités opérant des activités critiques et de tester dans l’année de leur mise en place toute nouvelle brique essentielle du système d’information (cette partie étant gérée par le prestataire informatique du Groupe BPCE) y compris les prestations externalisées critiques. 9.8.1.2 Le Groupe BPCE exerce une veille active sur un ensemble de crises dont le nombre a significativement évolué cette année. Il s’efforce en parallèle d’ajuster son dispositif de contrôle permanent et de confirmer la solidité de son dispositif de gestion de crise au travers d’exercices réguliers. Au niveau du Crédit Coopératif, le maintien en condition opérationnelle a été réalisé à l’aide de l’outil groupe de gestion de gestion des BIA DRIVE pour l’ensemble des services du siège. L’emphase a été mise en particulier cette année sur les procédures de continuité liées au scénario de cyber attaque. Travaux réalisés en 2023

2

Description de l’organisation mise en œuvre pour assurer la continuité des activités

Le Responsable du Plan d’urgence et de poursuite d’activité – RPUPA du Crédit Coopératif pilote la mise en œuvre de la déclinaison locale de la politique de continuité d’activité Groupe BPCE et rend compte auprès du RCA Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique Groupe BPCE en vigueur et sur les résultats du contrôle permanent.

183

GROUPE CRÉDIT COOPÉRATIF RAPPORT ANNUEL 2023