GROUPE_CREDIT_COOPERATIF_DOCUMENT_REFERENCE_2017
RAPPORT SUR LE GOUVERNEMENT D'ENTREPRISE
RAPPORT DE GESTION DU CRÉDIT COOPÉRATIF
LES COMPTES DU CRÉDIT COOPÉRATIF
INFORMATIONS COMPLÉMENTAIRES
Gestion des risques
2.7.10.3 Travaux réalisés en 2017 L’année 2017 a été consacrée à la poursuite des travaux de consolidation des différents processus participant à la sécurité du système d’information du Crédit Coopératif. Dans un contexte de migration du système d’information du Crédit Coopératif sur la plateforme Groupe BPCE MySys, le renforcement des composantes fonctionnelles de la sécurité a été privilégié au détriment des investissements sur un socle technique non pérenne. Les projets techniques se sont ainsi limités à la mise à jour des équipements du système d’information les plus exposés en termes de menaces et de vulnérabilités. Toutefois, dans un contexte de recrudescence des cyberattaques, le chantier de déchiffrement des flux chiffrés transitant sur internet a été mené à bien afin de permettre une analyse antivirale des échanges transitant entre le système d’information du Crédit Coopératif et Internet. En complément, l’accent a été mis sur la détection des menaces et leur résolution notamment par la mise en œuvre d’un système de management de la sécurité (SIEM) permettant la détection d’incidents avérés ou potentiels à partir de corrélation de journaux d’évènements de différents équipements clés du système d’information. Ce système de surveillance a été couplé à de nouvelles procédures de gestion des incidents de sécurité et interfacé avec les procédures de gestion de crise du Plan d’Urgence et de Poursuite d’Activité pour une meilleure efficacité. En 2017, un des axes principal de travail a également porté sur la sensibilisation et la formation des collaborateurs en matière de SSI. À titre d’illustration, des exercices consistant en l’envoi aux collaborateurs de faux messages de phishing ou contenant des faux ransomware ont été réalisés afin de vérifier le niveau de sensibilisation des différents acteurs ; ces exercices ont été associés à la diffusion de modules de formation en e-learning. Il a pu être constaté suite à ces travaux une amélioration sensible du niveau de sensibilisation des collaborateurs aux problématiques de cyber sécurité, leur permettant d’identifier plus efficacement les menaces et les risques afférents et de mettre en œuvre les bonnes pratiques attendues en la matière, comme en témoigne les remontées d’alertes à la boite aux lettres d’alerte dédiée, supervisée par l’équipe SSI. Par ailleurs, il est à noter que le Crédit Coopératif est partie prenante du réseau Vigie (CERT BPCE) qui permet un échange rapide et efficace des alertes en cours dans le Groupe BPCE et sur la place ainsi que le partage de plans d’actions, rendant encore plus efficace les dispositifs de protection. Enfin, dans le cadre de la migration du système d’information, l’équipe SSI s’est assuré du maintien du niveau de sécurité du système cible au regard des exigences en matière de sécurité du système d’information et tout particulièrement s’agissant des thématiques de droits d’accès et processus d’habilitations au futur système.
La PSSI-G matérialise les exigences de sécurité du groupe. Elle se compose d’une charte SSI, de 430 règles classées en 19 thématiques (1) et 3 documents d’instructions organisationnelles (2) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. La révision 2017 de la PSSI-G prend notamment en compte les évolutions légales et réglementaires (loi de programmation militaire, nouvelle directive sur les services de paiement, règlement européen de protection des données) et l’évolution de l’organisation et de la gouvernance du groupe. La PSSI-G constitue un socle minimum auquel chaque établissement doit se conformer. À ce titre, Le Crédit Coopératif a mis en place une charte SSI locale déclinant la charte SSI Groupe. Cette charte SSI s’applique au Crédit Coopératif ainsi qu’à ses filiales et établissements associés ainsi qu’à toute entité tierce, par le biais de conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif. La PSSI-G et la PSSI du Crédit Coopératif font l’objet d’une révision annuelle, dans le cadre d’un processus d’amélioration continue. Par ailleurs, le référentiel groupe de contrôle permanent SSI a également fait l’objet d’une révision profonde et sera déployé en 2018 à l’ensemble des entreprises. Le dispositif de cartographie des risques SSI a été renforcé en 2017 : | | ouverture opérationnelle de la plate-forme Archer Groupe de cartographie des risques SSI aux entreprises du Groupe ; | | convergence des référentiels au sein de la filière SSI ; | | articulation avec les Risques Opérationnels. La Direction Sécurité groupe a également repris le pilotage du programme groupe de mise en œuvre des exigences du règlement européen relatif à la protection des données personnelles (RGPD) pour lequel 12 chantiers ont été identifiés (organisation globale et normes, construction outillée d’un registre homogène des traitements, prise en compte des exigences du RGPD dans les projets, formation et sensibilisation, etc.). Dans le cadre de la transformation digitale du groupe un dispositif d’accompagnement SSI des projets digitaux a été mis en place avec un fonctionnement adapté au cycle de « développement agile ». Le dispositif collectif de vigilance cybersécurité du Groupe, VIGIE, mis en place en 2014 a été étendu avec plus de 70 veilleurs issus de tous les établissements du Groupe. En 2017 ce dispositif a permis, en particulier, de lutter efficacement contre les attaques Wannacry et Petya . Ce partage d’informations entre les établissements du Groupe et leurs pairs permet d’anticiper au plus tôt les incidents potentiels et d’éviter qu’ils se propagent. En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes et de crise est activé, tel que défini par le responsable du plan d’urgence et de poursuite de l’activité (PUPA).
2
(1) Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne ; Sécurité des accès à Internet ; Sécurité de la messagerie électronique ; Contrôle des accès logiques ; Sécurité des réseaux informatiques ; Lutte contre les codes malveillants ; Sécurité de la téléphonie ; Sécurité du poste de travail ; Sécurité des développements informatiques ; Gestion des traces informatiques ; Sensibilisation et formation à la SSI des ressources humaines ; Sécurité des systèmes et des équipements ; Sécurité des prestations sous-traitées ou externalisées ; Gestion des sauvegardes, des archives et des supports amovibles ; Sécurité de l’exploitation et de la production informatiques ; Sécurité des réseaux informatiques sans fil, ; Sécurité de l’informatique nomade ; Sécurité de l’information numérique confidentielle ; Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne, Sécurité des Locaux Informatiques. (2) Fonctionnement de la filière SSI du Groupe BPCE, Contrôle permanent SSI, classification des actifs sensibles du SI.
113
GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2017
Made with FlippingBook - Online catalogs