NATIXIS - Document de référence et rapport financier annuel 2018

FACTEURS DE RISQUES, GESTION DES RISQUES ET PILIER III Gestion des risques

Natixis s’inscrit également dans les filières « Sécurité des systèmes d’information », « Continuité d’activité » et « Protectiondes données personnelles »du Groupe BPCE. À ce titre, elle appliqueles politiqueset les méthodesdéfiniesau sein du GroupeBPCE. La sécurité des systèmes d’information Le département SSI-CA pilote son activité par les risques. Il s’appuie sur une méthode qui, en relation avec les risques opérationnels, identifie les situations de risques redoutées par les métiers et leurs actifs informatiques porteurs de vulnérabilités.L’évaluationdes risques peut intervenir lors de la campagnede révisionannuelleou résulterde l’accompagnement d’un projet. En 2018, SSI-CA a suivi près de 200 projetsmétiers. La moitié d’entre eux a donné lieu à l’expressiond’exigencesde sécuritéspécifiquesafin de mieuxmaîtriserles risques. À la lumièrede ces risques,le départementSSI-CAdéploieun plan annuel de contrôlepermanentde niveau 2, qui couvre toutes les thématiques de la sécurité du système d’information.Chaque année,environ6 000 opérations de contrôlesontainsimenées.Une attentionparticulièreest portéeaux contrôlesdes droitsd’accèset aux tests d’intrusion desactifsinformationnels exposés sur Internet. L’approche par les risques a également permis d’établir le programme stratégique 2018-2020. Ce programme, intitulé « NewSec », vise à transformer le modèle actuel, fondé principalementsur une sécurité périmétrique,en un modèle de type « aéroport ». L’année 2018 a donc vu le lancement de projets très structurantspour améliorer l’identificationdes actifs informationnelsde Natixis. La continuité d’activité Le dispositif de continuité de Natixis combine une gestion des sinistres par leurs conséquences (indisponibilité du système d’information, des locaux ou de collaborateurs) avec des mesures d’urgences propres à chaque scénario (crue de Seine, etc.). Natixis éprouve régulièrement l’ensemble de ce dispositif au moyen de contrôles de premier et second niveaux, d’exercices de gestionde crise et de tests des solutionsde secours. Natixis a profité de la fin du chantier Crue de Seine et du déploiement d’une large flotte d’ordinateurs portables pour ajuster son dispositif de repli utilisateur. La répartition entre les sites de repli a ainsi été revue, et le recours à des solutions de « Travailà Distance »a été élargi. Cette recherche d’efficacité s’est également traduite par une refonte de l’outil de gestion des plans de continuité et de l’applicationmobilede gestionde crise. Désormais, les équipes de continuité d’activité consacrent l’essentiel de leurs efforts à renforcer la résilience en cas de cyber attaqueréussie. La protection des données 3.2.8.6 personnelles Natixis s’est organisée pour garantir la protection des données personnellesdes clientscommedes collaborateurs. Un vaste projet de mise en conformité avec le Règlement généralsur la protectiondes données(RGPD)a été lancé au sein de Natixis. Ces travaux ont permis la rédaction de politiques et de procédures, la sensibilisation et la formation des collaborateurs, l’identification des traitements de données à caractère personnel et des actions de remédiation nécessaires, l’alignement des métiers de la Gestion d’actifs, la nomination d’un délégué à la protectiondes données personnelles(DPO) et la constitutiond’une filière « dataprivacy ».

La prévention de la corruption En conformitéavec les exigencesintroduitespar l’article 17de la loi du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisationde la vie économique (Sapin 2), Natixis a renforcé et mis en place certaines règles et procéduresde son dispositifde conformitéafin de les mettre au niveau des meilleurs standards internationaux en matière de préventionde la corruption. En 2018, cela s’est traduit par la publication d’une politique dédiée à la prévention et détection de la corruption communiquéeà l’ensembledes collaborateursainsi qu’unemise à jour du règlement intérieur intégrant les règles en la matière. Par ailleurs,les différentessituationsà risque sont encadréespar des procédures dédiées telles que celles portant sur la préventionet la gestion des situations de conflits d'intérêts, sur la conduite de diligences anti-corruption lors de l’entrée en relation avec les tiers et préalablement à la mise en place de partenariats ou d’opérations de croissance externe, ou encore sur l’encadrement des recrutements. Les pratiques à risque (offre/acceptationde cadeauxou invitations,actions de mécénat, sponsoring ou donation, rémunération d’intermédiaires) font égalementl’objetde procéduresqui leur sont propres. Afin de s’assurerde la diffusionet appropriationde ces règles et procédures, une formation en e-learning obligatoire a été déployée et des sessions de formation spécifiques ont été menéesauprèsdes membresdu comitéexécutifde Natixis.Plus de 12 500 actionsde formationont ainsi été réaliséesen 2018. L’ensemble de ce dispositif anti-corruption est piloté et animé par un service dédié au sein du département de la Sécurité financière. Ce dernier se repose sur un réseau de correspondants anti-corruption au sein de l’ensemble des métiers, filiales et succursales de Natixis, aussi bien en France qu’à l’étranger. La gouvernance est assurée au travers de comités existants relatifs à la gestion des risques et des contrôlesainsi que par la mise en place de comitésspécifiques. Par ailleurs, les aspects de corruption sont pleinement intégrés dans le dispositif de contrôle permanentexistant notammentau travers de contrôles spécifiquessur les situations et pratiques à risquementionnéesplus haut ; Au-delà de la réglementation française qui s’applique à l’ensemble des entités de Natixis, Natixis s’assure du strict respect des réglementations locales qui s’imposent à ses implantations étrangères, telles que le UK Bribery Act ou le ForeignCorruptPracticesAct. Les principales règles et procédures du programme de prévention de la corruption sur-retranscrites dans la Politique anticorruption de Natixis, disponible sur le site Internet www.natixis.com . Pour faire face au cyber risque, Natixis a mis en place deux lignes de défense dont la bonne articulation est garantie par la tenue d’un comité de pilotage « Cyber sécurité et continuité » régulier. Le départementde Sécurité informatique(rattaché à la direction des Systèmes d’information) constitue le premier niveau. Il met en œuvre toutes les mesures opérationnellesde protectiondu système d’informationde Natixis. Le département Sécurité des systèmes d’information et continuité d’activité (SSI-CA) – (rattaché à la direction de la Compliance) assure le deuxième niveau. Ces deux lignes de défense partagent un « Security Operating Center » (SOC) commun. Ce dernier travaille en liaison directe avec la « Computer Emergency ResponseTeam »(CERT)du GroupeBPCE La sécurité des systèmes 3.2.8.5 d’information et la continuité d’activité

3

157

Natixis Document de référence 2018