Groupama - Document de référence 2016

GOUVERNEMENT D’ENTREPRISE ET CONTRÔLE INTERNE RAPPORT SUR LE CONTRÔLE INTERNE

la cartographie des processus ; ❯ la description desprocessus et deleurs activités (procédures) ; ❯ permettant la remontéedans OROp ; la définition des contrôles permanents et les résultats ❯ les indicateursde résultats ; ❯ Direction Générale etvalidées parle conseil d’administration. les politiquesde G2S : instructionset orientationsdéfinies par la ❯ Le Plan de Continuité d’Activités (PCA) de G2S En 2016, une campagne de réactualisation des documents de référence des métiers BIA  (1) et PCM  (2) a été conduite par toutes les directions deG2S. Le corpus documentaire du PCA de G2S est en cours de finalisation. Toutes les composantes transverses du PCA (PGC  (3) , PRU  (4) , PSI  (5) , PMCO  (6) ) sont définies. 2016 a également été consacrée au développement d’un nouvel outil PCA de type Intranet : IRM (Involvement in Risks Management). Il recouvre l’ensemble des informations sur lesquelles s’appuie la continuité métier : gestion de l’ensembledes données desBIAs ; ❯ gestion desannuairesPCA ; ❯ stockage centralisé etaccès auxPlans de ContinuitéMétier. ❯ Grâce à son ergonomie, cet outil facilitera la réactualisation régulière des directions et permettra à tous les acteurs du PCA de consulter à tout moment l’ensemble des dispositifs relatifs à la continuité d’activité deG2S. décrits dans cePCA. L’organisation de plusieurs exercices opérationnels a permis de s’assurer de la mise en œuvre effective des plans de secours En 2016, des exercices de secours ont été également réalisés pour les autres entités du Groupe, ainsi que des exercices de PSI effectuéspar Groupama SA. Contrôle et Sécurité des systèmes d’information Le RSSI, Responsablede la Sécurité des Systèmes d’Information du Groupe définit la politique groupe de sécurité des systèmes d’information (PGSSI) et pilote le déploiement de la démarche sécurité dans le Groupe. Il exerce également la mission de RSSIE (Entreprise) pour le compte deGroupamaSA. de maîtrise des risques majeurs groupe relatifs aux systèmes d’informations. Par ailleurs, depuis fin 2013, la fonction RSSIG pilote les dispositifs Ces RMG font l’objet d’un examen semestriel par la Direction de L’urbanisme, Transformation digitale, Pilotage et Risques (DUTP de G2S), qui donne lieu à rapport permettant d’évaluer la pertinencedes dispositifsde maîtrise des activitésmis en œuvre et de suivre les plans d’améliorationde la maîtrise des risques. Ces mêmes risques sont régulièrement examinés par le Comité des

Risques Opérationnels Groupe et une fois par an en Comité des Risques Groupe. Les principalesactions conduites sur l’année2016 sont : l’extension des missions de contrôle de G2S à l’ensemble des ❯ entités du Groupe en lien avec les responsables Sécurité, désignés au sein des entités du périmètre France et International ; la finalisation du renforcementet de l’extension de la prestation ❯ de surveillance àde nouveaux domaines (24 heures ur 24) ; la poursuite du plan de formation des développeurs aux ❯ nouvelles menaces pour acquérir le savoir-faire nécessaire au développement d’applications web non vulnérables ; des vulnérabilités. la construction du référentiel de réaction sur événements, ❯ permettant de couvrir la complexité croissante des attaques et Au 1 er  semestre 2015, G2S a construit un nouveau schéma directeur sécurité dont l’objectif est de définir les principes directeurs à venir pour la période 2016-2019. Sa déclinaison opérationnelle adébuté en 2016. équipements et immeubles permettant de satisfaire les clients du GIE en respectant la législation envigueur. Le contrôle et le suivi des locaux, des installations et des équipements se caractérisent par la gestion du cycle de vie des La conformité des immeubles est contrôlée régulièrement.Toutes les anomalies sont listées dans un plan de progrès, suivi mensuellement ausein d’un groupe detravail SécuritéLogistique. G2S dispose pour chaque immeuble géré par G2S et occupé par du personnel de Groupama SA d’une fiche qui matérialise les contrôles réglementaires. Tous les trimestres, ces fiches sont contrôlées par les équipes du pôle Sécurité, Secours et Conformitéde G2S. Les résultats et les rapports seront enregistrés dans l’outil OROp en2016. Gestion des incidents G2S dispose pour ses activités métiers Informatique et Logistique d’un dispositif de déclaration des Incidents qui s’appuie sur un outil qui centralise l’ensemble des incidents et permet de suivre leur résolution au travers de « workflow » impliquant les différents groupes decompétence deG2S. Les incidents majeurs impactant la disponibilité des services informatiques et logistiques sont par ailleurs enregistrés depuis 2015 dans l’outil communautaire de gestions des risques opérationnels OROp. spécifiqueset de recommandationsvisant notammentà établir les actions à mener pour anticiper la survenued’incidentde ce type et à améliorer le déclenchement et les modalités de la gestion de Les incidents significatifs peuvent donner lieu à des audits crise d’incidentmajeur. Contrôle et Sécurité des moyens logistiques

3

BIA : BusinessImpactAnalysis. (1) PCM :Plan de Continuité Métier. (2) PGC :Plan de Gestionde Crise. (3) PRU : Plan deRepli Utilisateur. (4) PSI : Plan de Secours Informatique. (5) PMCO : Plan de Maintien en Conditions Opérationnelles. (6)

97

GROUPAMA SA

DOCUMENT DE RÉFÉRENCE 2016 -