Groupe Crédit Coopératif - Document d'enregistrement universel 2019

RAPPORT DE GESTION

Gestion des risques 2

9.9

Sécurité des Systèmes d’information

9.9.1

Organisation et pilotage

La PSSI-G matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la Charte risques, conformité et contrôle permanent Groupe, de 391 règles classées en 19 thématiques et 3 documents d’instructions organisationnelles. Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. La révision 2018 de la PSSI-G prend notamment en compte les résultats des travaux d’évaluation de conformité et d’estimation du niveau d’enjeu de chacune des règles de la PSSI-G, menés au cours de l’année avec l’ensemble des établissements et l’évolution de l’organisation et de la gouvernance du Groupe BPCE. La PSSI-G constitue un socle minimum auquel chaque établissement doit se conformer. À ce titre, Le Crédit Coopératif a mis en place une charte SSI locale déclinant la Charte SSI Groupe BPCE. La PSSI-G et la PSSI du Crédit Coopératif font l’objet d’une révision annuelle, dans le cadre d’un processus d’amélioration continue. Dans le cadre du programme Groupe BPCE de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), un dispositif d’accompagnement RGPD des projets a été mis en place y compris les projets digitaux avec un fonctionnement adapté au cycle de développement agile. En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes et de crise est activé, tel que défini par le responsable du plan d’urgence et de poursuite de l’activité (PUPA). 9.9.3 Après la migration informatique opérée en mai 2018 avec l’arrimage à la communauté IT-CE qui a profondément modifié le contexte SI du groupe Crédit Coopératif précédemment autonome, l’année 2019 a été consacrée aux travaux d’appropriation du nouvel environnement avec un net renforcement des composantes fonctionnelles de la sécurité. Le Crédit Coopératif a ainsi mené les chantiers d’inventaire des actifs, d’évaluation de la conformité à la PSSI_G et de cartographie des risques SSI. Un des autres axes principaux de travail a porté sur la thématique des droits d’accès et plus prioritairement sur la gestion des habilitations. A titre d’illustration, un cadre de gestion des habilitations a été rédigé par la RSSI ce qui a permis une nette amélioration de la maitrise du périmètre des droits octroyés aux collaborateurs pour l’exercice de leur fonction. La priorité a également porté sur la sensibilisation et la formation des collaborateurs en matière de SSI. A titre d’exemples, des campagnes de sensibilisation collaborateurs basée sur l’envoi de faux phishing ont été menées et des animations spécifiques ont été réalisées dans le cadre du mois de la Cybersécurité au sein de l’établissement. Il a pu être constaté suite à ces travaux une amélioration sensible du niveau de sensibilisation des collaborateurs aux problématiques de cyber sécurité et de fuites de données, leur permettant d’identifier plus efficacement les menaces et les risques afférents et de mettre en œuvre les bonnes pratiques attendues en la matière, comme en témoignent les remontées d’alertes à la boite aux lettres d’alerte dédiée, supervisée par la RSSI. Le Crédit Coopératif est partie prenante du réseau Vigie (CERT BPCE) qui permet un échange rapide et efficace des alertes en cours dans le Groupe BPCE et sur la place ainsi que le partage de plans d’actions, rendant encore plus efficace les dispositifs de protection. Travaux réalisés en 2019

de la filière SSI La sécurité des systèmes d’information BPCE est organisée en filière, pilotée par la Direction de la Sécurité Groupe BPCE. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe BPCE. Dans ce cadre, elle : anime la filière SSI regroupant : les RSSI des affiliées dont le Crédit ● Coopératif, des filiales et des GIE informatiques ; assure le contrôle permanent de niveau 2 et le contrôle consolidé ● de la filière SSI ainsi qu’une veille technique et réglementaire, en liaison avec les autres départements de la Direction Risques, Conformité et Contrôles Permanents (DRCCP) ; initie et coordonne les projets groupe de réduction des risques sur ● son domaine ; représente le Groupe BPCE auprès des instances de place ● interbancaires ou des pouvoirs publics dans son domaine. Les RSSI du Crédit Coopératif et plus largement de tous les affiliés, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe BPCE. Ce lien fonctionnel implique notamment que : toute nomination de RSSI soit notifiée au RSSI Groupe BPCE ; ● la politique sécurité des systèmes d’information Groupe BPCE soit ● adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe BPCE préalablement à sa déclinaison dans l’établissement ; Le RSSI du Crédit Coopératif pilote la mise en œuvre de la politique sécurité des systèmes d’information et rend compte auprès du RSSI Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique SSI Groupe BPCE, les résultats du contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées. Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité du Crédit Coopératif. Il mène sa mission en relation avec la Direction Informatique et le département du Contrôle Permanent ainsi qu'avec le RPUPA, le délégué à la protection des données et le service de lutte anti-fraude et le service Risques opérationnels, rattachés au même département que la RSSI. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. Depuis la migration du système d’information du Crédit Coopératif sur la plateforme communautaire gérée par IT-CE, le RSSI assure seul l’ensemble des missions SSI au sein du Crédit Coopératif avec un RSSI suppléant qui occupe la fonction de Responsable du Plan d’Urgence et de Poursuite d’Activité. des systèmes d’information Le Groupe BPCE a élaboré une politique de sécurité des systèmes d’information Groupe BPCE (PSSI-G). Cette politique définit les principes directeurs en matière de protection des systèmes d’information (SI) et précise les dispositions à respecter d’une part, par l’ensemble des établissements du Groupe BPCE en France et à l’étranger et, d’autre part, au travers de conventions, par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs établissements du Groupe BPCE. Suivi des risques liés à la sécurité 9.9.2

132

GROUPE CRÉDIT COOPÉRATIF DOCUMENT D'ENREGISTREMENT UNIVERSEL 2019