Groupe La Poste // Rapport RSE 2022

Accélérer la transformation digitale en assurant l’éthique et la sécurité numérique 4 PROMOUVOIR UN NUMÉRIQUE ÉTHIQUE, INCLUSIF ET FRUGAL ■

4.1.4 Accessibilité numérique Le groupe La Poste propose l’essentiel de ses services – dont ceux de La Banque Postale – en ligne 24 heures sur 24 et 7 jours sur 7 aux clients particuliers et professionnels, afin de leur simplifier la vie au quotidien. À fin 2022, la gouvernance de l'accessibilité numérique au sein du groupe est en place : un référent accessibilité numérique a été nommé au niveau de toutes les DSI. Ils sont animés par le référent accessibilité groupe d'i-TEAM. Les schémas pluriannuels de mise en accessibilité sont publiés pour i-TEAM et la DSI BSCC et en cours de validation pour les autres DSI.

La Poste s’emploie à rendre l’ensemble de ses supports numériques internes et externes (sites internet, intranet et extranet) simples d’accès, intuitifs et responsables : ■ un bouquet de formations, allant de la sensibilisation jusqu’au développement de sites web accessibles, est disponible pour les postiers, quelles que soient les fonctions concernées : achats, informatique, communication, etc. ; ■ pour les achats mutualisés groupe, les critères d’accessibilité, parmi lesquels figurent la conformité, l’utilisabilité et la fiabilité, sont inclus dans les cahiers des charges des prestataires dans le cadre des appels d’offres. La notation, les soutenances et les plans de progrès sont accompagnés par le référent accessibilité groupe. Les services numériques proposés font l'objet d'une éco-socio conception intégrant des composantes liées à l'accessibilité, carrière radicale pour des postiers ayant une appétence pour l’informatique. Ils peuvent acquérir le diplôme de concepteur développeur et intégrer les directions informatiques de La Poste. Le succès de ce dispositif ne se dément pas. La formation au numérique des collaborateurs est un enjeu clé identifié dans le plan stratégique « La Poste 2030 engagée pour vous », qui prévoit qu’une formation au numérique sera proposée à chaque postier avec un parcours adapté. La direction de la cybersécurité a poursuivi le développement des instances de coordination et de gouvernance. Ainsi, les comités suivants s'assurent du déploiement de la politique de sécurité des systèmes d’information du groupe La Poste : ■ le Comité cyber groupe : Comité de gouvernance du groupe ; ■ le Comité de veille réglementaire cyber : suivi des réglementations et des projets de réglementation nationaux et internationaux liés à la sécurité de l’information ; ■ le Comité de coordination opérationnelle cyber : amélioration de la coordination opérationnelle et études des évolutions des structures de sécurité opérationnelles ; ■ le Comité scientifique et technique cyber : établir l’inventaire et maintenir la connaissance permanente des équipements assurant la protection du groupe et de ses branches et ses filiales et définir les politiques de détection et de réaction contextualisées au groupe, de ses branches et ses filiales ; ■ le Comité de pilotage stratégique : pilotage de la mise en conformité réglementaire du groupe et de La Banque Postale ; ■ plusieurs Comités opérationnels et techniques complètent ce dispositif.

4.1.5 Formation et sensibilisation au numérique responsable Parce que le numérique constitue un important relais de croissance et de développement, le groupe offre des parcours professionnels aux postiers pour les accompagner sur ces nouveaux métiers. Le groupe La Poste a noué un partenariat avec Simplon (1) en 2015 avec l’ambition de former des postiers non-informaticiens (facteurs, guichetiers, postiers des services support, etc.) aux métiers du développement web et du codage informatique. La transition numérique devient ainsi une opportunité d’évolution de

4.1.6 Cybersécurité Le Groupe La Poste met en œuvre une approche globale de la cybersécurité qui a pour objet de garantir sa conformité aux règlements et aux lois. Le cadre de sa gouvernance cyber, validé par le Conseil d’Administration en 2018, a été construit autour des exigences de cybersécurité définies par la Norme ISO 27001 et 27002, complétée des exigences du référentiel du National Institute of Standards and Technologies (NIST) pour ses activités financières et assurantielles. Les exigences des directives NIS 2 et DORA sont en cours d’intégration dans la PSSI du Groupe. La sécurisation des SI, des utilisateurs, des équipements et des filiales du Groupe sont pilotés dans le cadre du plan 4x100%. L’organisation de cyberdéfense du Groupe est engagée dans un processus de transformation qui doit aboutir à la création d’un centre de cyberdéfense du Groupe dont le fonctionnement sera calé sur les standards du marché en vue d’en faire un MSSP interne. Cette cyberdéfense s’appuie également sur la Direction Services Télécoms, Réseau et Sécurité (DSTRS) qui opère la sécurité du réseau et des collaborateurs accédant en télétravail aux SI du Groupe. Pour renforcer l'expertise des effectifs spécialisés (15 métiers de la cybersécurité représentés dans le groupe selon le référentiel SECNUMEDU de l'ANSSI), le Groupe développe un programme de formation interne « l’Ecole de la cybersécurité du Groupe ». L'IT et la cybersécurité sont intégrées dans les critères d'évaluation des collaborateurs.

La Politique de sécurité des systèmes d’information du groupe La Poste (PSSIG), approuvée en décembre 2019, est en cours de déploiement. Ce document, construit sur la norme ISO/IEC 270021, est complété de 15 directives stratégiques et l’ensemble constitue le cadre de la sécurité du groupe. Elle s'appuie sur un dispositif d'analyse des risques EBIOS 2010. (1) Simplon est une start-up de l’économie sociale et solidaire fondée en 2013 qui proposait initialement des formations gratuites au codage. Simplon a aujourd’hui élargi le champ des formations dans l’informatique.

64 Rapport RSE 2022/ LA POSTE GROUPE