Groupe Crédit Coopératif - Document d'enregistrement universel 2020

RAPPORT SUR LE GOUVERNEMENT D'ENTREPRISE

RAPPORT DE GESTION

ÉTATS FINANCIERS

ÉLÉMENTS COMPLÉMENTAIRES Déclaration de performance extra-financière

analyse des dispositifs de travail à distance ; ● suivi des accès distants des collaborateurs ; ● traitement des alertes remontées par les collaborateurs. ●

À ce titre, le responsable SSI du Crédit Coopératif est rattaché fonctionnellement au RSSI Groupe BPCE. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que le responsable SSI de la banque : s’assure de l’adoption de la politique sécurité des systèmes ● d’information Groupe BPCE et qu’il soumette les modalités d’application de la politique SSI Groupe BPCE à la validation du responsable SSI Groupe BPCE préalablement à son approbation par la Direction générale et à sa présentation au Conseil d’administration ou au Comité de direction de la banque ; réalise un reporting concernant son niveau de conformité à la ● politique SSI Groupe BPCE, les modalités de contrôle permanent SSI mis en place, le niveau de risques SSI, les principaux incidents SSI et les actions engagées, qu’il transmet au RSSI Groupe BPCE. Travaux réalisés en 2020 La prévention des risques liés aux cybermenaces, la préservation de ses systèmes d’information, la protection des données, et particulièrement les données personnelles de ses clients, de ses collaborateurs et plus globalement de toutes ses parties prenantes, sont des objectifs majeurs au cœur des préoccupations du Crédit Coopératif. Le Crédit Coopératif s’appuie sur la politique sécurité des systèmes d’information Groupe BPCE (PSSI-G) qui matérialise les exigences de sécurité. Cette politique est composée d’un cadre SSI adossé à la Charte risques conformité et contrôle permanent groupe, de 391 règles classées en dix-neuf thématiques et trois documents d’instructions organisationnelles. En 2020, en dépit du contexte sanitaire, les travaux sur les chantiers suivants ont été menés : revue du détourage des règles de la PSSI-G dans l’outil groupe ● DRIVE ; poursuite de l’exécution du plan de Sensibilisation Groupe : ● participation à l’élaboration du Kit d’animation du mois de la Cybersécurité et mise en œuvre de l’animation, participation aux campagnes Groupe de sensibilisation au phishing . Le Crédit Coopératif a ainsi participé aux neuf campagnes menées par le Groupe BPCE en 2020. L’ensemble des collaborateurs du Crédit Coopératif a été ciblé, poursuite de l’enrichissement dans l’outil groupe DRIVE de la cartographie SSI du système d’information privatif du Crédit Coopératif, pour les 28 processus métiers les plus critiques. Des actions ont ainsi été menées sur : les actifs métiers et actifs supports et leur classification : ● situations de risque métier, vulnérabilités, risques SSI ; prise en compte de l’ajustement du plan de contrôle suite à la revue ● du détourage des règles de la PSSI-G. La situation de crise sanitaire liée à l’épidémie de la Covid-19 a engendré une intensification du recours au télétravail. Pour la réduction des risques liés à cette situation, la RSSI du Crédit Coopératif a mis en place les mesures suivantes : guide de bonnes pratiques SSI, diffusé à l’ensemble des ● collaborateurs ; communications à l’ensemble des collaborateurs sur la sécurisation ● de l’information et de son échange ; communications aux collaborateurs et sur les sites clients en fonction ● de la veille SSI ;

.

,: +0:76:0;0-: 40: ,5 I<=9, +(5: 3, *(+9, +< 9D.3,4,5; ,<967C,5 9,3(;0- A 3( 796;,*;065 +,: +655C,: 7,9:655,33,: "

Le Crédit Coopératif s’inscrit dans le dispositif d’accompagnement RGPD des projets mis en place dans le cadre du programme groupe de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), y compris les projets digitaux : Mise en place d’une politique de protection des données. Le ● traitement des demandes d’exercice de droits et des violations de données à caractère personnel fait l’objet de procédures diffusées sur le Kiosk de la Direction des Risques et de la Conformité ; Intégration du suivi global de la conformité au RGPD dans l’outil ● DRIVE, également commun à la Sécurité des Systèmes d’information, à la lutte contre la cybercriminalité et à la continuité d’activité, exploitant ainsi de façon optimale les synergies entre ces différentes activités, a été engagée. Organisation Nomination d’un Data Protection Officer (DPO) ; ● Nomination de référents informatique et libertés (RIL) au sein des ● directions métier ; Mise en œuvre d’un parcours de sensibilisation à la protection des ● données pour l’ensemble des collaborateurs. Moyens Déclinaison d’un programme groupe RGPD structuré en douze ● projets couvrant les différents thèmes : juridique/réglementaire, conformité, informatique, ressources humaines, process, sous-traitance ; Élaboration d’une cartographie des traitements informatiques des ● données personnelles ; Capitalisation sur les moyens déjà mis en œuvre pour la sécurité des ● systèmes d’information et la lutte contre la cybercriminalité : politique de sécurité des systèmes d’information (PSSI-G) matérialisant les exigences de sécurité, défense en profondeur notamment par la définition et la mise en œuvre de bonnes pratiques pour le développement sécurisé d’applications, Contrôles Vérification de la mise en œuvre effective des règles de la PSSI-G au ● travers d’un dispositif de contrôle permanent réalisé par le Crédit Coopératif ; Déploiement en 2020 du programme Groupe de contrôle ● permanent RGP. Il sera complété au cours de l’année 2021. Réalisation d’une mission d’audit Groupe BPCE sur le respect de la ● mise en œuvre de la réglementation issue du RGPD et le dispositif mis en place en matière de sécurité du système d’information. dispositifs d’identification des fuites d’information, dispositif collectif de vigilance cybersécurité, VIGIE, CERT ( Computer Emergency Response Team ).

2

89 GROUPE CRÉDIT COOPÉRATIF DOCUMENT D'ENREGISTREMENT UNIVERSEL 2020