Groupe La Poste // Rapport RSE 2022

Développer des services de confiance 4 PROMOUVOIR UN NUMÉRIQUE ÉTHIQUE, INCLUSIF ET FRUGAL ■

La sécurisation des systèmes d’information (SI), des utilisateurs, des équipements et des filiales du groupe est pilotée par la Direction Cyber Groupe (DCG) , dans le cadre du plan stratégique « 4x100% » (2022-2025) . La DCG construit et suit les indicateurs d’avancement pour chacun des quatre programmes de ce plan : ■ supervision de 100 % des SI critiques : tous les systèmes d’information critiques, au sens de l’indicateur de Risk Appetite de la CDC, doivent être supervisés ; ■ enrôlement de 100 % des filiales dans un dispositif de cybersécurité de telle sorte que leurs SI exposés sur internet, leurs SI internes et leur messagerie soient protégés ; ■ protéger 100 % des équipements connectés : tous les équipements employés pour se connecter au SI du groupe ou de ses filiales doivent bénéficier de solutions de sécurité garantissant leur protection, y compris lors de phases de travail à distance ; ■ sensibilisation de 100% collaborateurs : tous les collaborateurs du groupe et de ses filiales doivent faire l’objet d’une sensibilisation annuelle aux risques et aux menaces cyber. Au sein du groupe La Poste, près de 140 personnes sont employées dans les trois security operation centers (SOC) mis en place au niveau du groupe, de sa filiale Docaposte et de La Banque Postale. Ces structures, qui fonctionnent 24 heures sur 24 et 7 jours sur 7, assurent la sécurité de l’information pour les trois entités. Elles sont dotées de security information event management (SIEM), qui leur permet de gérer les événements des systèmes d’information. Le SOC du groupe est en cours de qualification de prestataire de détection d’incidents de sécurité (PDIS) auprès de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Tous les SOC sont coordonnés par la direction des opérations de la direction de la cybersécurité du groupe. L’organisation de cyberdéfense du groupe est actuellement engagée dans un processus de transformation, qui doit aboutir à la création d’un centre de cyberdéfense du groupe, dont le fonctionnement sera calé sur les standards du marché.

Chaque année, deux plans annuels d’audit interne des SOC et SIEM sont déployés sur le périmètre du groupe et de La Banque Postale. 350 audits ont été réalisés en 2022 dont 248 sur des filiales. Ces plans sont validés par le Président-Directeur Général du groupe et par le Président du Directoire de La Banque Postale. Les tests de pénétration sont réalisés en interne par le SOC du groupe ou par la direction de l’audit informatique du groupe. En complément de ces tests, l’Inspection générale de La Banque Postale commandite des tests de pénétration internes ou externes et tout le groupe fait appel à « Yeswehack » pour mener des campagnes de bug bounty (1) . En moyenne, 90 % des sites et applications font l’objet de tests tous les ans. Enfin, le groupe La Poste mène chaque année plusieurs campagnes de lutte antiphishing et des campagnes d’information en cas d’alertes de sécurité, y compris lorsque ses prestataires ou fournisseurs sont impactés. Les populations manipulant des informations sensibles font l’objet d’une sensibilisation annuelle, et le groupe développe un programme de formation interne, « l’École de la cybersécurité du groupe », pour orienter certains de ses collaborateurs vers les métiers de la cyber. Tous les collaborateurs ont accès à un outil de déclaration des incidents dont ceux liés à la cybersécurité. En 2022, 18 incidents cyber ont été recensés : ■ 3 incidents majeurs dont l’attaque sur La Poste Mobile qui a exposé les données personnelles de 400 000 clients ; ■ 12 incidents RGPD ayant entraîné des notifications à la CNIL ; ■ 3 incidents importants ayant impacté la disponibilité des services informatiques du groupe. Ces incidents ont fait l’objet de gestion de crise, de retour d’expérience et des plans d’actions sont en cours, pilotés par la direction de la cybersécurité du Groupe.

4.2 DÉVELOPPER DES SERVICES DE CONFIANCE

Docaposte est le référent de la confiance numérique en France.

■ être certifié pour l’excellence de sa relation client : ses trois sites certifiés ISO 18295-1 et un autre certifié NF 345, attestent de la qualité de son expérience client, en particulier celle de ses centres de contact clients ; ■ détenir des labels ou certifications qui font référence sur le marché et sur les périmètres spécifiques à ses métiers : systèmes d’archivage électronique, numérisation fidèle de documents, production de formules de chèques normalisées, hébergement des données de santé, signature électronique, identification et authentification numérique, etc. ; ■ être qualifié eIDAS sur l’ensemble de sa gamme de services numériques de confiance et bénéficie également des plus hautes certifications pour ses datacenters .

Portés par la Direction générale de la filiale numérique de La Poste, la qualité des prestations, le respect des engagements de service, l’amélioration continue et le respect de la réglementation sont des engagements déclinés à tous les échelons de Docaposte en vue d’assurer la satisfaction de ses clients.

Ces engagements ont conduit Docaposte à :

■ mettre en place un système de management de la Qualité, certifié ISO 9001 depuis 2010, puis à étendre en 2015 son champ de certification à la Santé et à la Sécurité au travail et à l’Environnement. Au 1 er mars 2022, 32 de ses sites sont certifiés ISO 9001, 13 certifiés ISO 14001 et 12 certifiés ISO 45001 ;

(1) Un bug bounty est un programme qui fournit une compensation financière aux utilisateurs qui trouvent des failles de sécurité ou des vulnérabilités dans l’application, le site web ou n’importe quel service numérique d’une organisation.

Rapport RSE 2022/ LA POSTE GROUPE 65