Rapport annuel 2023

RAPPORT SUR LE GOUVERNEMENT D’ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Gestion des risques

Cette charte SSI s’applique au Crédit Coopératif et à BTP Banque, filiale du Crédit Coopératif, ainsi qu’à toute entité tierce, par le biais de conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif. L’application à la filiale BTP Banque (établissement MySys) se fait suivant les mêmes modalités que celles appliquées au Crédit Coopératif. À cette charte SSI, se rattachent les 384 règles de sécurité issues de la PSSI-G, qui fait l’objet d’un détourage permettant de déterminer le périmètre sous la responsabilité du Crédit Coopératif. Ce détourage des règles de la PSSI-G fait l’objet d’une révision annuelle, dans le cadre d’un processus d’amélioration continue. Suite au détourage réalisé en 2023, 116 règles de la PSSI-G apparaissent comme étant sous la responsabilité opérationnelle du Crédit Coopératif. Ce détourage des règles de la PSSI-G fait l’objet d’une révision annuelle, dans le cadre du processus d’amélioration continue. Sensibilisation des collaborateurs à la cybersécurité Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année a été marquée par la poursuite des campagnes de sensibilisation au phishing et par le renouvellement de la participation au « mois européen de la cybersécurité ». Le Crédit Coopératif a déployé le dispositif Groupe BPCE de campagnes de sensibilisation au phishing. Il a fait le choix de participer à l’ensemble des campagnes pour maintenir une vigilance permanente de tous les collaborateurs. Ce dispositif fait l’objet d’un pilotage au niveau de la gouvernance du Crédit Coopératif, avec un dispositif de suivi des résultats en Comité de Direction générale, la mise en place de nouvelles formations complémentaires et des entretiens du directeur des risques avec les collaborateurs affichant un comportement à risque. Cette approche a permis à l’établissement d’améliorer ses indicateurs sur la cybersécurité et de créer de vrais réflexes ; ainsi on note une augmentation sensible du nombre d’alertes phishing des collaborateurs sur des cas réels mais aucun incident ayant impacté le SI du Crédit Coopératif. Le dispositif comporte également une sensibilisation lors des réunions d’accueil des nouveaux collaborateurs, ainsi qu’un plan de formation adapté aux nouveaux arrivants, qui intègre notamment les menaces et risques liés aux situations de télétravail. 9.8.2.3 Un dispositif de pilotage global des revues de sécurité et tests d’intrusion a été mis en place au sein du Groupe BPCE pour couvrir 100 % des actifs critiques des SI sur des cycles de 4 ans. Ce dispositif permet désormais de consolider l’ensemble des vulnérabilités identifiées dans le cadre des revues de sécurité et tests d’intrusion ainsi que les plans de remédiation liés dans DRIVE pour un suivi centralisé. En 2023, le chantier d’élaboration de la cartographie SSI de l’ensemble des SI du Groupe s’est poursuivi. À ce titre, chaque établissement du Groupe, au regard de son rôle et de son contexte a pour objectif de dresser la cartographie SSI des SI dont il est en charge opérationnellement en s’appuyant sur la méthodologie Groupe articulant les approches SSI avec celle des métiers. Un référentiel de contrôle permanent de niveau 1 a été spécifié et mis à disposition de l’ensemble des établissements. Sur le périmètre du Crédit Coopératif, outre le développement de la culture risque liée aux cyber menaces, les revues récurrentes des habilitations applicatives et des droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.), la surveillance de l’ensemble des sites web publiés sur Internet, le suivi des plans de traitement des vulnérabilités ainsi que la surveillance du risque de fuite de données par mail ou l’utilisation de service de stockage et Travaux réalisés en 2023

d’échange en ligne constituent les axes principaux des travaux menés lors de chaque exercice. Au-delà de ces travaux récurrents, l’année 2023 a été consacrée à la mise en œuvre de chantiers structurants : projet Groupe SPHERE visant la maîtrise des SI Privatifs en ● particulier, sur le périmètre des sites Internet privatifs, et plus généralement tous les services souscrits auprès de tiers notamment les service SaaS. Les travaux suivants ont ainsi été menés dans le cadre de ce projet : Tri des URLs de l’empreinte Web et revue de l’inventaire de 1. l’ensemble des actifs privatifs, Classification des actifs métiers et cotations des situations 2. de risques métiers qui leur sont rattachées, Intégration de l’ensemble des résultats dans l’outil Groupe 3. Drive ; campagne NIST 2023 pilotée par la Direction Sécurité Groupe ● BPCE, démontrant que le Crédit Coopératif fait preuve d’un bon niveau de maturité ; contribution au groupe de travail sur la cyber notation du ● Groupe BPCE. Le mode projet sur cette cyber notation sera déployé en 2024 ; révision du process de revue des habilitations afin d’en faciliter ● sa réalisation par les métiers. Les résultats de la revue ont ainsi été améliorés par rapport à l’année précédente ; déploiement d’un nouveau plan de contrôles permanents SSI ● de niveau 1, dans l’outil Groupe DRIVE. Les opérateurs ont été accompagnés dans mise en œuvre ; mise en place d’un comité décisionnaire « Risques Cyber et ● IT » Groupe Crédit Coopératif ayant pour missions : la validation de l’acceptation des risques Cyber et 1. Informatiques et de l’approche face à la tolérance aux risques, la définition, la validation et l’arbitrage des plans d’actions et 2. des mesures de réduction des risques à mettre en place, la validation des budgets et des moyens à allouer à la 3. maîtrise des risques Cyber et informatiques. la fraude externe L’organisation de la lutte contre la fraude externe est matérialisée essentiellement par une séparation claire des fonctions entre : la première ligne de défense (LoD 1), en charge de la gestion et ● du pilotage opérationnels de la lutte contre la fraude externe ; la seconde ligne de défense (LoD 2), en charge du pilotage et ● du suivi des risques de fraude externe. La LoD 1 est coordonnée par la Tour de Contrôle Fraude Groupe BPCE qui porte les principales activités suivantes : animation de la filière opérationnelle fraude ; ● fixation des objectifs des différents acteurs et pilotage de la ● performance ; élaboration de la feuille de route et suivi de son exécution ; ● suivi des projets et communication sur l’avancement ; ● gestion des urgences ; ● définition du plan annuel de contrôle et réalisation des CPN1 ; ● certification des chiffres/publication des reportings ; ● suivi des plans d’action. ● Lutte contre la fraude externe 9.8.3 Organisation de la lutte contre 9.8.3.1

2

185

GROUPE CRÉDIT COOPÉRATIF RAPPORT ANNUEL 2023