GROUPE_CREDIT_COOPERATIF_DOCUMENT_REFERENCE_2017
2 Rapport de gestion Gestion des risques
Par ailleurs, afin d’en assurer la validité opérationnelle, les différentes composantes du Plan d’urgence et de poursuite d’activité sont éprouvées dans le cadre d’un plan d’exercices pluriannuel sur quatre ans, qui prévoit entre autres, de faire participer tous les ans à un exercice, les unités opérant des activités critiques et de tester dans l’année de leur mise en place toute nouvelle brique essentielle du système d’information. 2.7.9.2 Travaux réalisés en 2017 Les plans d’action initiés consécutivement aux incidents informatiques et immobiliers survenus en 2016 se sont poursuivis tout au long de l’année 2017, par des mises à niveau et des adaptations des plans métiers et supports ainsi que des dispositifs du PUPA du Groupe Crédit Coopératif. Ces travaux ont été menés en restant conforme au guide de Bonnes Pratiques de Continuité d’Activité Groupe BPCE, qui constitue le cadre commun de référence en matière de règles de gouvernance et de règles opérationnelles de Continuité Groupe. En parallèle, les travaux de maintien en condition opérationnelle du Plan d’Urgence et de Poursuite de l’Activité se sont poursuivis conformément aux procédures en vigueur et au programme d’exercices pluriannuel. Deux exercices de replis utilisateurs en juin et novembre 2017 ont ainsi permis d’éprouver les solutions mises en place en cas d’indisponibilité du siège (site de repli et procédures métiers) et de valider la reprise des activités critiques et de criticité moyenne dans les délais attendus. La sécurité des systèmes d’information du Groupe BPCE est organisée en filière, pilotée par la Direction de la Sécurité Groupe. Cette Direction est rattachée à la DRCCP du Groupe. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe. Dans ce cadre, elle : | | anime la filière SSI regroupant : les RSSI des affiliées maisons mères, des filiales et des GIE informatiques ; | | assure le contrôle permanent de niveau 2 et le contrôle consolidé de la filière SSI ainsi qu’une veille technique et réglementaire, en liaison avec les autres départements de la Direction Risques, Conformité et Contrôles Permanents (DRCCP) ; | | initie et coordonne les projets groupe de réduction des risques sur son domaine ; | | représente le Groupe auprès des instances de place interbancaires ou des pouvoirs publics dans son domaine. Les RSSI du Crédit Coopératif et plus largement de tous les affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe. Ce lien fonctionnel implique notamment que : | | toute nomination de RSSI soit notifiée au RSSI Groupe ; | | la politique sécurité des systèmes d’information Groupe soit adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe préalablement à sa déclinaison dans l’établissement ; 2.7.10 Sécurité des Systèmes d’information 2.7.10.1 Organisation et pilotage de la filière SSI
En novembre, un exercice de secours informatique a permis d’éprouver les solutions mises en place en cas d’indisponibilité du site de production informatique principal. Le périmètre de cet exercice ne concernait que le cœur du système d’information bancaire dont la partie matérielle avait été entièrement renouvelée en début d’année. Cet exercice a permis de valider les nouvelles procédures de bascule ainsi que la reprise des services bancaires sur le site secondaire dans les délais impartis. Également, dans le cadre du scénario d’indisponibilité du personnel, chaque unité critique a réalisé un test de Travail Occasionnel A Distance, validant ainsi la possibilité pour les collaborateurs de reprendre leur activité en dehors des locaux habituels du Crédit Coopératif ou du site de repli. En complément, des exercices ont été menés en 2017 avec des fournisseurs de prestations essentielles externalisées afin de s’assurer de la continuité des prestations les plus critiques. Dans le cadre de la migration informatique vers la plateforme MySys du groupe BPCE, des travaux préparatoires ont été engagés dès 2017 afin d’adapter techniquement et fonctionnellement les dispositifs actuels du PUPA du Groupe Crédit Coopératif. Ainsi, une refonte globale du Plan de Repli Utilisateurs a notamment été initiée afin de pouvoir répondre aux nouvelles contraintes informatiques et aux nouveaux besoins métiers. L’année 2018 sera, quant à elle, essentiellement consacrée à la gestion de la migration informatique. L’ensemble du dispositif de crise sera revu afin de sécuriser au mieux cette migration et les plans de continuité métier et support seront adaptés au nouvel environnement. | | un reporting concernant le niveau de conformité des établissements à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soient transmis au RSSI Groupe. Le RSSI du Crédit Coopératif est ainsi rattaché fonctionnellement au RSSI Groupe. Il pilote la mise en œuvre de la politique sécurité des systèmes d’information et rend compte auprès du RSSI Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique SSI Groupe, les résultats du contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées. Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité du Crédit Coopératif. Il mène sa mission en relation avec la Direction Informatique et le Contrôle Interne. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. L’équipe SSI est actuellement composée de trois personnes, un RSSI et deux prestataires externes en appui qui lui sont directement rattachés. 2.7.10.2 Suivi des risques liés à la sécurité des systèmes d’information Le Groupe BPCE a élaboré une politique de sécurité des systèmes d’information Groupe (PSSI-G). Cette politique définit les principes directeurs en matière de protection des systèmes d’information (SI) et précise les dispositions à respecter d’une part, par l’ensemble des établissements du Groupe en France et à l’étranger et, d’autre part, au travers de conventions, par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs établissements du Groupe.
112
GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2017
Made with FlippingBook - Online catalogs