NATIXIS_DOCUMENT_REFERENCE_2017

RISQUES ET ADÉQUATION DES FONDS PROPRES Risques de non-conformité

des situations de conflits d'intérêts, sur la conduite de diligences anti-corruption lors de l’entrée en relation avec les tiers (clients, fournisseurs, intermédiaires) et préalablement à la mise en place de partenariats ou d’opérations de croissance externe, ou encore sur l’encadrement des recrutements. Elles s’attachent à évaluer la situation des tiers en regard des problématiques de corruption et de trafic d’influence (analyses sur leur réputation et leurs antécédents), à identifier les facteurs d’exposition au risque de corruption (telles que la présence de décideurs publics parmi les bénéficiaires directs ou indirects d’une transaction), à s’assurer de la justification économique du rôle des différents intervenants dans une transaction, à vérifier que les versements de fonds réalisés sont justifiés, etc. Elles visent aussi à éviter les risques de dérives dont certaines pratiques sont susceptibles de fournir l’occasion telles que l’offre/l’acceptation de cadeaux ou d’invitations, le versement de fonds dans le cadre d’actions de mécénat, de sponsoring ou de donation, la rémunération d’intermédiaires. Les règles et procédures de ce dispositif de prévention sont retranscrites dans la Politique anti-corruption de Natixis applicable à l’ensemble de ses entités et de ses collaborateurs. Au niveau international, Natixis s’assure du strict respect des réglementations locales, telles que le UK Bribery Act ou le Foreign Corrupt Practices Act. Le département Sécurité des systèmes d’information et continuité d’activité (SSI-CA), organisé en filière, a pour objectifs d’assurer la protection des actifs informationnels de Natixis, d’identifier les risques (en terme de disponibilité, d’intégrité, de confidentialité et de traçabilité de l’information), de demander la mise en œuvre de plans de remédiation le cas échéant, de maintenir l’expertise et le conseil nécessaire auprès des métiers et de maintenir opérationnel le dispositif global de crise. Pour cela, ce département dispose de ses propres ressources pour assurer les fonctions transverses. Il s’appuie également sur des relais dans des métiers (Responsables de la Sécurité des Systèmes d’Information et Responsables du Plan de Continuité d’Activité) ou au sein de la Direction des Systèmes d’Information. Le département SSI-CA pilote son activité par les risques. Il s’appuie sur une méthode qui, en relation avec les risques opérationnels, identifie les situations de risques redoutées par les métiers et leurs actifs informatiques porteurs de vulnérabilités. Cette méthode est désormais adoptée par le Groupe BPCE. Elle couvre en particulier le risque cyber, évalué selon des indicateurs en court de fiabilisation. L’évaluation des risques peut intervenir lors de la campagne de révision annuelle ou résulter de l’accompagnement d’un projet. En 2017, SSI-CA a suivi près de 300 projets métiers. La moitié d’entre eux a donné lieu à l’expression d’exigences de sécurité spécifiques afin de mieux maîtriser les risques. A la lumière de ces risques, le département SSI-CA déploie un plan annuel de contrôle permanent de niveau 2, qui couvre toutes les thématiques de la sécurité du système d’information. Une attention particulière est portée aux contrôles des droits d’accès. Démarré en 2012, le programme de refonte de la gestion des habilitations s’est achevé en fin d’année 2017. L’outil gère environ 1,2 millions d’habilitations pour plus de 21 000 collaborateurs ou prestataires. Les contrôles portent également sur le respect de la politique de sécurité. Natixis a participé LA SÉCURITÉ DES SYSTÈMES 3.10.5 D’INFORMATION ET LA CONTINUITÉ D’ACTIVITÉ

Toute opération détectée et susceptible de contribuer à des activités terroristes ou de profiter à des personnes ou entités liées à des milieux terroristes fait l’objet d’une déclaration de soupçon auprès de la cellule de renseignement financier compétente. Le respect des sanctions financières et embargos Natixis met en œuvre un dispositif permettant d’assurer le respect des réglementations en matière de sanctions financières et d’embargos qui lui sont applicables. Ce dispositif repose notamment sur des dispositifs de contrôle des bases clients et de filtrage des transactions qui permettent d’identifier en permanence toute personne ou entité visée par des sanctions financières, en particulier des mesures de gel des fonds ou des restrictions relatives à l’accès au financement bancaire. Il permet de mettre en œuvre dans les meilleurs délais des mesures de gel visant des clients de Natixis. Il permet également de prévenir toute opération se rapportant à des secteurs d’activités ou des biens et technologies soumis à des restrictions ou des prohibitions en application de mesures d’embargo. Les juridictions soumises à des mesures d’embargo font l’objet de mesures de surveillance constante et de diligences renforcées dans le cadre d’une approche prudente et restrictive, visant à éviter toute interprétation de la portée des contraintes réglementaire. Une assistance et un conseil spécifique est apportée aux métiers et entités de la Banque par une équipe dédiée aux sanctions financières. La lutte contre la fraude Les actions de lutte contre la fraude sont pilotées par le service Coordination Lutte Anti-Fraude en collaboration avec les métiers concernés. Ce service a également pour mission de définir et mettre en place les normes et principes relatifs à la gestion du risque de fraude et d’animer le réseau de correspondants anti-fraude au sein des métiers et filiales/succursales de Natixis en France et à l’étranger. Plus spécifiquement, le risque lié aux activités de Marchés de capitaux fait l’objet d’un suivi rapproché, de contrôles spécifiques de niveaux 1 et 2 piloté et mis en œuvre par une équipe dédiée au sein de la Compliance BGC. Les fraudes aux virements basées sur le « social engineering » font également l’objet de vigilance permanente et d’actions de prévention spécifiques, ce type de fraude en constante évolution reste particulièrement prégnant et connaît des variantes touchant des métiers différents de la banque commerciale. Enfin, le risque de fuites d’information, devenu un risque majeur, fait l’objet d’un dispositif spécifique de contrôle et d’investigation faisant intervenir des experts en matière de fraude et de sécurité des SI ainsi que les fonctions juridiques et RH le cas échéant. La prévention de la corruption Afin de se conformer aux exigences introduites par l’article 17 de la loi du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (Sapin 2) Natixis a conduit tout au long de l’année 2017 un chantier visant à renforcer certaines règles et procédures de son dispositif de conformité afin de les mettre au niveau des meilleurs standards internationaux en matière de prévention de la corruption. Ces règles et procédures ont pour objet de repérer les situations à risque en s’appuyant notamment sur la prévention et la gestion

3

165

Natixis Document de référence 2017