Société Générale / Rapport sur les risques - Pilier 3

9 RISQUE OPÉRATIONNEL

ORGANISATION DE LA GESTION DU RISQUE OPÉRATIONNEL

tester les capacités de détection et de réaction des équipes de défense (Blue Teams) lors d’exercice simulant une attaque réelle. Les services de la Red Team permettent notamment une meilleure compréhension des faiblesses de la sécurité du système d’information Société Générale, d’aider à la mise en place de stratégies globales d’amélioration, et également d’entraîner les équipes de défense cybersécurité. Vu le nombre et la sophistication croissants des attaques numériques, le risque de cybercriminalité s’avère de plus en plus significatif pour les acteurs de l’industrie bancaire. Société Générale le place au cœur de ses préoccupations afin de protéger ses clients, les données et les systèmes d’information. Il est adressé de manière coopérative par les filières sécurité des systèmes d’information et risques opérationnels et est suivi par la Direction générale dans le cadre d’un schéma directeur Sécurité des Systèmes d’Information (SSI). Le risque de cybercriminalité est doté d’un budget de 650 millions d’euros sur trois ans. Ainsi, pour accompagner le plan stratégique Groupe Transform to Grow , un schéma directeur SSI est structuré autour de cinq axes majeurs qui guident les actions à horizon 2020 : la sécurité pour les clients de la Banque : améliorer l’expérience p numérique sécurisée et renforcer la culture cybersécurité de nos clients ; la protection des actifs clés : poursuivre les actions de sécurisation p au plus près de la donnée et la sécurisation des applications les plus sensibles ; la poursuite du renfort des capacités de détection et de réaction du p Groupe ; le développement de l’agilité et des zones de confiance de nos p systèmes et processus informatiques afin de faciliter les échanges en internes et avec nos partenaires ; le développement de l’expertise de la filière SSI en créant un Cyber p Institute , la sensibilisation et l’accompagnement des collaborateurs. Une équipe en central à la Direction ressources et transformation numérique est en charge de la gestion et du suivi des risques opérationnels informatiques. Les principales missions de l’équipe sont : d’identifier et d’évaluer les risques majeurs informatiques pour le p Groupe, incluant les scénarios extrêmes de risque (ex. : cyber-attaque, défaillance d’un prestataire), pour permettre à la Banque d’améliorer la connaissance de ses risques, d’être mieux préparée à des scénarii de risques extrêmes et de mieux aligner ses investissements avec ses risques informatiques ; de fournir des éléments permettant au management de la Banque p de piloter les risques en particulier via des KRI (Key Risk Indicators). Ceux-ci sont communiqués au Comité des risques de Société Générale et au Comité des risques du Conseil d’administration. Ils sont revus régulièrement pour rester alignés avec la stratégie SI et SSI et leurs objectifs ; plus généralement, de s’assurer de la qualité et de la fiabilité de p l’ensemble des dispositifs adressant les risques opérationnels informatiques. Une attention particulière est portée au dispositif de contrôle permanent de ses risques informatiques, qui s’appuie sur la définition de contrôles normatifs SI/SSI et l’accompagnement du Groupe dans le déploiement de la supervision managériale sur ce sujet. En 2019, dans le cadre du programme « PCT » de transformation du contrôle permanent, une nouvelle version des contrôles normatifs SI/SSI a été élaborée et doit être déployée à travers le Groupe à horizon T3 2020. La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de maîtrise du risque opérationnel et la seconde ligne de défense est assurée par la Direction des risques.

définir une vision globale de la sécurité au niveau du Groupe ; p identifier les menaces et les risques de sécurité auxquels le Groupe p est confronté (vision actuelle et prospective) ainsi que les faiblesses du Groupe face à ces menaces ; élaborer et diffuser les politiques et dispositifs Groupe sécurisant p davantage nos activités et permettant de faire face à des crises sécuritaires ; mettre en place le dispositif de pilotage de la sécurité du Groupe ; p organiser le dispositif de gestion de crise du Groupe ; p coordonner les relations avec les autorités publiques de sécurité p nationales, européennes et internationales dans le domaine de la sécurité ; développer et coordonner l’intelligence économique ; p contribuer à la lutte contre la fraude ; p renforcer la culture sécurité dans le Groupe (formation, p communication…). La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de maîtrise du risque opérationnel et la seconde ligne de défense est assurée par la Direction des risques. Risques liés à la sécurité de l’information L’information constitue un patrimoine stratégique pour Société Générale. Qu’elle soit sur support papier, numérique ou échangée oralement, l’utilisation et l’accès à l’information doivent se faire dans le respect des réglementations et lois en vigueur. À cette fin, la Direction de la sécurité Groupe, logée au niveau du Secrétariat général, a publié en avril 2019 une nouvelle politique Groupe de sécurité de l’information (PGSIN). La PGSIN apporte une vision holistique du sujet en renforçant la prise en compte des aspects humains (exemple de la vigilance à l’intérieur et en dehors de nos locaux, et dans les réseaux sociaux) et en capitalisant sur les politiques de sécurité des systèmes d’information (exemple du chiffrement de l’information). La PGSIN rappelle également l’importance de la diffusion de la culture sécurité dans le Groupe. Dans la foulée de la publication de la PGSIN dans le Code SG, la Direction de la sécurité Groupe, en co-construction avec les équipes de la Direction ressources et transformation numérique, a lancé ou supporte des initiatives permettant de renforcer la matérialisation de cette politique (exemple de la construction de modules de sensibilisation à la sécurité de l’information destinés aux salariés du Groupe et aussi aux prestataires externes ; de la mise en œuvre d’un outil numérique d’aide à la classification et à la protection de l’information). Ces actions s’articulent avec le schéma directeur de la Sécurité des Systèmes d’Information décrit plus bas. En ce qui concerne les systèmes informatiques, le responsable de la sécurité des systèmes d’information et des risques opérationnels informatiques est logé au niveau de la Direction ressources et transformation numérique. Sous l’autorité fonctionnelle du Directeur de la sécurité Groupe, il propose la stratégie des moyens de protection de l’information dématérialisée et anime la communauté de la sécurité des systèmes d’information. Les dispositifs de sécurité des systèmes sont alignés avec les standards du marché (NIST, ISO 27002), et déclinés dans chaque BU/SU. Sur le plan opérationnel, le Groupe s’appuie sur une cellule CERT (Computer Emergency Response Team) en charge de la gestion des incidents, de la veille sécuritaire et de la lutte contre la cybercriminalité. Cette équipe fait appel à de multiples sources d’information et de surveillance, internes comme externes. Depuis 2018, cette cellule s’est également renforcée par la mise en place d’une équipe interne Red Team, dont les principales missions ont pour objectif d’évaluer l’efficacité des dispositifs de sécurité déployés et de

181

| GROUPE SOCIÉTÉ GÉNÉRALE | PILIER 3 - 2020