Groupe Crédit Coopératif - Document d'enregistrement universel 2020

RAPPORT SUR LE GOUVERNEMENT D'ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES

Gestion des risques

qui consistent principalement en l’utilisation d’un dispositif de secours informatique (gérer par BPCE-IT) et d’un dispositif de repli collaborateurs, sont mises en œuvre à l’aide de différents plans support, plans métier et un plan de gestion de crise, qui constituent les différentes composantes du Plan d’urgence et de poursuite d’activité. Afin de tenir compte des diverses évolutions tant au niveau de l’organisation, du personnel, des activités que des ressources informatiques, une actualisation annuelle de ces plans est effectuée dans le cadre du maintien en condition opérationnelle par les correspondants PUPA sous la responsabilité des responsables opérationnels. Ainsi, au Crédit Coopératif, conformément aux procédures établies, une campagne de mise à jour est initiée annuellement auprès des différents contributeurs. Par ailleurs, afin d’en assurer la validité opérationnelle, les différentes composantes du Plan d’urgence et de poursuite d’activité sont éprouvées dans le cadre d’un plan d’exercices pluriannuel sur quatre ans, qui prévoit entre autres, de faire participer tous les ans à un exercice, les unités opérant des activités critiques et de tester dans l’année de leur mise en place toute nouvelle brique essentielle du système d’information (cette partie étant gérée par le prestataire informatique du Groupe BPCE). L’année 2020 est marquée par un dispositif PUPA déployé en permanence pour piloter la crise Covid-19. La cellule de crise se réunit chaque semaine pour adapter le dispositif de l’entreprise, afin d’assurer la sécurité des collaborateurs et celles des clients, tout en permettant le maintien de l’activité. La cellule de crise gère notamment le déploiement d’un dispositif de travail à distance sanitaire. Ce déploiement permanent et les consignes de sécurité pour les collaborateurs expliquent que les exercices programmés sur 2020 ont été neutralisés. toute nomination de RSSI soit notifiée au RSSI Groupe BPCE ; ● la politique sécurité des systèmes d’information Groupe BPCE soit ● adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe BPCE préalablement à sa déclinaison dans l’établissement ; Le RSSI du Crédit Coopératif pilote la mise en œuvre de la politique sécurité des systèmes d’information et rend compte auprès du RSSI Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique SSI Groupe BPCE, les résultats du contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées. Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité du Crédit Coopératif. Il mène sa mission en relation avec la Direction Informatique et le département du Contrôle Permanent ainsi qu’avec le RPUPA, le délégué à la protection des données et le service de lutte anti-fraude et le service Risques opérationnels, rattachés au même département que la RSSI. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. Travaux réalisés en 2020 9.8.2

La Direction Continuité d’Activité Groupe BPCE définit, met en œuvre et fait évoluer autant que de besoin la politique de continuité d’activité Groupe BPCE. Sa nouvelle version a été émise fin 2018. Pour le Crédit Coopératif, le dispositif de Continuité d’Activité tend à se baser sur les référentiels Groupe BPCE en vigueur : Charte de continuité d’activité Groupe BPCE et Politique de continuité d’activité Groupe dont la déclinaison locale est en cours. Description de l’organisation mise en œuvre pour assurer la continuité des activités Le Responsable du Plan d’urgence et de poursuite d’activité – RPUPA du Crédit Coopératif pilote la mise en œuvre de la déclinaison locale de la politique de continuité d’activité Groupe BPCE et rend compte auprès du RCA Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique Groupe BPCE en vigueur et sur les résultats du contrôle permanent. Le RPUPA est rattaché hiérarchiquement au département Sécurités et Risques Opérationnel, au sein de la Direction des Risques et de la Conformité. Il mène sa mission en relation avec les directions supports (Informatique, DRH, Sécurité et Moyen généraux) et anime un réseau de correspondants PUPA au sein des métiers qui ont en charge de veiller au maintien en condition opérationnelle du PUPA sur leur périmètre respectif. Le Comité exécutif des Risques assure le pilotage du dispositif de Continuité d’Activité au sein du Groupe Crédit Coopératif. Le suivi opérationnel est effectué lors de réunions régulières réunissant le RPUPA, sa suppléante et le responsable du service Sécurités et Risques Opérationnel. Le RPUPA est également partie prenante dans le processus de gestion d’alertes et de crises mis en place au sein du Crédit Coopératif permettant la prise en charge, le cas échéant à l’aide d’une Cellule de Crise Décisionnelle, des incidents perturbateurs à forts impacts. La stratégie de continuité adoptée vise à permettre la reprise des activités essentielles suivant les délais maximums d’interruption d’activité exprimés par les métiers en activant les solutions de continuité ad hoc selon les cas de sinistres envisagés. Ces solutions, Organisation et pilotage de la filière SSI 9.9.1 La sécurité des systèmes d’information BPCE est organisée en filière, pilotée par la Direction de la Sécurité Groupe BPCE. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe BPCE. Dans ce cadre, elle : anime la filière SSI regroupant : les RSSI des affiliées dont le Crédit ● Coopératif, des filiales et des GIE informatiques ; assure le contrôle permanent de niveau 2 et le contrôle consolidé ● de la filière SSI ainsi qu’une veille technique et réglementaire, en liaison avec les autres départements de la Direction Risques, Conformité et Contrôles Permanents (DRCCP) ; initie et coordonne les projets groupe de réduction des risques sur ● son domaine ; représente le Groupe BPCE auprès des instances de place ● interbancaires ou des pouvoirs publics dans son domaine. Les RSSI du Crédit Coopératif et plus largement de tous les affiliés, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe BPCE. Ce lien fonctionnel implique notamment que : 9.9

2

Sécurité des Systèmes d’information

159

GROUPE CRÉDIT COOPÉRATIF DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020