Groupe Crédit Coopératif // Document d'enregistrement universel 2021

RAPPORT DE GESTION Gestion des risques

Malgré ces différentes crises subies depuis le début et tout au long de l’année, le maintien en condition opérationnelle de l’ensemble des composantes du PUPA a pu être initié et réalisé dans des conditions dégradées, pour les métiers étant déjà intégrés historiquement au PUPA du Crédit Coopératif. Sur le second semestre, les métiers n’ayant jamais été sollicités par le PUPA ont également été intégrés au dispositif en réalisant un Bilan d’Impact sur leurs Activités, et permettant ainsi de valider un point de contrôle de la nouvelle Politique de Continuité d’Activité Groupe. L’exercice de repli utilisateurs qui avait été planifié sur l’exercice 2021 en juin a été annulé. Les deux autres planifiés en octobre et novembre se sont déroulés avec succès, validant

ainsi la reprise d’activité sur le site de repli des activités critiques et de criticité moyenne. En juin et aout, deux exercices de secours informatique (piloté par BPCE-IT) ont permis d’éprouver les solutions mises en place en cas d’indisponibilité d’un site de production informatique. Le périmètre de ces exercices était global et concernait l’ensemble des établissements du Groupe BPCE car embarquant les applications communautaires. Une partie du système privatif du Crédit Coopératif a également été testé. Les problèmes rencontrés ont tous fait l’objet de plans d’action correctifs afin de s’assurer du bon fonctionnement lors d’une bascule ultérieure, mais aucun problème majeur n’a été rencontré.

9.9

Sécurité des systèmes d’information

9.9.1

Organisation et pilotage de la filière

Les RSSI du Crédit Coopératif et plus largement de tous les affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe. Ce lien fonctionnel implique notamment que : toute nomination de RSSI soit notifiée au RSSI Groupe ; ● la politique sécurité des systèmes d’information Groupe soit ● adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe préalablement à sa déclinaison dans l’établissement ; un reporting concernant le niveau de conformité des ● établissements à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soient transmis au RSSI Groupe. Le RSSI est rattaché hiérarchiquement au département Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité du Crédit Coopératif. Il mène sa mission en relation avec la Direction Informatique et le département du Contrôle Permanent ainsi qu’avec le RPUPA, le délégué à la protection des données et le service de lutte anti-fraude et le service Risques opérationnels, rattachés au même département que la RSSI. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. Le RSSI assure seul l’ensemble des missions SSI au sein du Crédit Coopératif avec un RSSI suppléant qui occupe la fonction de Responsable du Plan d’urgence et de poursuite d’activité. Le budget SSI pour l’année 2021 est de 82 milliers d’euros. systèmes d’information Le Groupe BPCE a élaboré une politique de sécurité des systèmes d’information Groupe (PSSI-G), adossée à la charte risques, conformité et contrôle permanent Groupe. Cette politique définit les principes directeurs en matière de protection des systèmes d’information (SI) et précise les dispositions à respecter d’une part, par l’ensemble des établissements du Groupe en France et à l’étranger et, d’autre part, au travers de conventions, par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs établissements du Groupe. Suivi des risques liés à la sécurité des 9.9.2

SSI Au sein du dispositif de maîtrise des risques liés aux risques informatiques, la Direction de la Sécurité Groupe (DSG) est notamment en charge de la Sécurité des Systèmes d’Information (SSI) et de la lutte contre la cybercriminalité. La Direction de la Sécurité Groupe (DSG) est rattachée au Secrétariat Général Groupe. La sécurité des systèmes d’information du Groupe BPCE est organisée en filière, pilotée par la Direction de la Sécurité Groupe (DSG). La Direction, définit, met en œuvre et fait évoluer la politique SSI Groupe (PSSI-G). La DSG : anime la filière SSI regroupant les RSSI des affiliées maisons ● mères, des filiales et des GIE informatiques ; assure le pilotage du dispositif de contrôle permanent de ● niveau 2 et le contrôle consolidé de la filière SSI ; initie et coordonne les projets Groupe de réduction des ● risques ; et représente le Groupe auprès des instances de Place ● interbancaires ou des pouvoirs publics dans son domaine de compétence. Depuis mars 2020, l’activité Gouvernance, Risques et Contrôles de second niveau de BPCE-IT a été transférée à la DSG : l’activité gouvernance SSI BPCE-IT est désormais sous ● responsabilité SSI-Groupe ; l’activité Risques et Contrôles Sécurité est quant à elle assurée ● au sein d’une nouvelle entité rattachée à la Direction Sécurité Groupe.

GROUPE CRÉDIT COOPÉRATIF DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021 180