NATIXIS_DOCUMENT_REFERENCE_2017

3 RISQUES ET ADÉQUATION DES FONDS PROPRES Risques de non-conformité

activement à la révision de la politique de sécurité du SI Groupe BPCE. Cette dernière regroupe près de 400 règles à fin 2017. Un suivi resserré des demandes de remises en conformité – mis en place au quatrième trimestre 2017– devrait permettre de réduire l’exposition de Natixis aux risques SSI et CA. En complément, Natixis s’est doté d’un nouvel outil de suivi des incidents de sécurité du SI, qui permet en outre de faciliter la déclaration des incidents graves aux régulateurs concernés. Les services de Natixis en charge de la sécurité des Systèmes d’information (SSI-CA et la direction des Systèmes d’information) ont défini conjointement un plan stratégique 2018-2020 qui vise en priorité à mieux maîtriser le risque de cyber attaque. Il aboutira à une transformation de notre modèle de sécurité : de la forteresse actuelle (peu ouverte et protégée par une ligne de défense unique) à un dispositif analogue à celui d’un aéroport (plus ouvert, mais dont les actifs sensibles bénéficient de protections accrues). S’agissant de la continuité d’activité, les équipes PCA (plan de continuité des activités) et PSI (plan de secours informatique) ont été rapprochées dans un but d’efficacité accrue. Le plan de contrôle de second niveau 2017 a couvert la plupart des entités et des infrastructures informatiques vitales. Il a été complété par un test de « Travail à Distance » de grande ampleur (près de 700 collaborateurs) et par des exercices de gestion de crises. Un chantier Crue de Seine a été mené à bien. De nouvelles mesures de protection ont été installées et testée avec succès ; le réseau informatique parisien a été sécurisé de même que la majorité des accès au réseau par les plateformes internationales ; une nouvelle prestation a été éprouvée en vue d’offrir une solution de repli plus accessible à nos collaborateurs. Enfin, la nouvelle stratégie immobilière est engagée au gré des baux arrivant à échéance.

Natixis renforce progressivement son dispositif de continuité face aux menaces cyber. Une cellule de crise dédiée est en place, des procédures d’urgences sont déployées pour faire face à des scénarios de cyber attaques courantes (ransomware, DDOS, etc.) et le renforcement de notre résilience face à des chocs extrêmes est à l’étude.

LA PROTECTION DES DONNÉES 3.10.6 PERSONNELLES

Natixis garantit la protection des données personnelles des clients comme des collaborateurs : les traitements comportant des données personnelles sont a réalisés conformément à la loi informatique et libertés et font l’objet lorsque nécessaire d’une déclaration à la CNIL (ou autorité équivalente à l’international) ; Natixis prend les mesures adaptées pour garantir la a confidentialité de ces données, et informer les personnes dont les informations sont traitées, afin de permettre à celles-ci d’exercer pleinement leurs droits d’accès et de rectification. Le dispositif repose sur deux niveaux d’organisation : la coordination CNIL et des relais CNIL dans chaque métier. Des travaux visant à assurer la conformité avec le règlement général sur la protection des données (RGPD) sont en cours : rédaction d’un corpus de procédures, constitution du registre de données personnelles, recensement - pour chaque traitement concerné - des exigences de sécurité à mettre en œuvre pour être conforme, et recrutement du délégué à la protection des données personnelles.

166

Natixis Document de référence 2017