Société Générale / Rapport sur les risques 2019

9

LES RISQUES OPÉRATIONNELS DISPOSITIFS DE SUIVI DES RISQUES OPÉRATIONNELS

une validation des scénarios par les métiers (par exemple lors des p comités de coordination du contrôle interne des départements concernés ou lors de réunions ad hoc ) ; une revue d’ensemble de la hiérarchie des risques du Groupe, et de p l’adéquation des scénarios, à ces risques, effectuée lors du CORISQ. Analyse des pertes externes Les pertes externes sont les données de pertes opérationnelles subies par le secteur bancaire et financier, issues des bases de données gérées par des prestataires, ainsi que des données partagées par la profession bancaire dans le cadre de consortiums. Ces données enrichissent l’identification et l’évaluation des risques opérationnels du Groupe. Comités Nouveaux Produits Chaque direction soumet tout nouveau produit à destination de la clientèle à un Comité nouveaux produits. Piloté conjointement par la Direction des risques et des métiers concernés, ce comité a pour objet de s’assurer qu’avant tout lancement de produit, tous les types de risques induits (risque de crédit, risque de marché, risques de liquidité et de refinancement, risques pays, risques opérationnels, risques juridiques, fiscaux comptables, financiers, systèmes d’information ainsi que les risques de conformité, de réputation, de protection des données personnelles et de risque lié à la RSE,...) ont été identifiés, évalués et font l’objet de mesures d’atténuation permettant que les risques résiduels soit acceptés. Ce comité permet d’assurer le lancement de produit et son exécution dans les conditions et sécurités requises. La définition du « nouveau produit » s’étend de la création d’un produit ou service nouveau à l’adaptation d’un produit ou service existant à un nouvel environnement d’organisation ou à un nouveau type de clientèle pouvant ainsi générer des risques différents ou plus élevés. Dans l’ensemble du Groupe, 510 comités nouveaux produits se sont tenus au cours de l’année 2018. Externalisations de prestations de service Les métiers décident de l’externalisation de services dans le cadre des normes fixées par le Groupe. Les projets d’externalisation sont conduits par un chef de projet et validés par le sponsor qui accepte le niveau de risque résiduel au terme d’une analyse des risques basée sur les avis d’experts. Cela permet de s’assurer de l’homogénéité des évaluations et de la cohérence des décisions dans le Groupe. L’analyse intègre a minima les risques opérationnels (incluant la fraude, le risque d’exécution…), juridiques, fiscal, de non-conformité, de réputation, fournisseur, ressources humaines, de responsabilité sociale et environnementale, de continuité d’activité, les risques liés à la qualité des données, les risques liés à la sécurité de l’information et à la protection des données.

Les experts juridiques qualifient les prestations d’essentielles au sens de l’arrêté du 3 novembre 2014. Les prestations critiques au niveau Groupe font l’objet d’un pilotage renforcé via un pilotage contratuel régulier. Ces prestations sont identifiées à l’aide de critères tels que la notion d’« activité coeur de métier », l’impact financier et le risque de réputation. Ces prestations critiques sont validées au sein d’un comité dédié, présidé par le département du risque opérationnel. Gestion de crise et continuité d’activité Les dispositifs de gestion de crise et de continuité d’activité visent à minimiser autant que possible les impacts d’éventuels sinistres sur les clients, le personnel, les activités ou les infrastructures, et donc à préserver la réputation et l'image du Groupe et sa solidité financière. Ils répondent également à une obligation réglementaire. Leur mise en place et leur suivi s’étendent à l’ensemble du Groupe et s’appuient sur une méthodologie conforme aux standards internationaux. Le schéma directeur sécurité des systèmes d'information (SSI) 2018-2020 Avec des investissements à hauteur de 650 millions d'euros à horizon 2020, le schéma directeur SSI a pour ambition de placer la cyber sécurité au centre de la relation de confiance numérique qui lie Société Générale à ses clients. L’évaluation des risques cyber et les actions de renforcement de nos dispositifs SSI sont pilotés au travers d’un tableau de bord partagés trimestriellement avec la direction du Groupe. Articulé autour d’un set de KRI couvrant les 8 catégories standards de risques SSI préconisés par les régulateurs et les organismes de normalisation (ACPR, EBA, NIST…), ce tableau de bord permet de vérifier le respect de l’appétit au risque du Groupe et l’efficacité des plans d’action. En matière de sensibilisation, un module en ligne sur la sécurité de l’information est obligatoire pour tout le personnel interne et pour l’ensemble des prestataires qui utilisent ou accèdent à notre système d’information. Disponible en 14 langues, il couvre les principaux aspects de la cybersécurité (fuite d’information, sécurité des données, phishing, ingénierie sociale, fraude au président, etc.). Fin 2018, 93% des collaborateurs du Groupe Société Générale ayant accès à ce module en ligne avaient validé la formation. En complément, des actions de sensibilisation spécifiques, vis-à-vis des collaborateurs mais aussi des clients , sont menées tout au long de l’année (conférences, démonstrations, ateliers, etc.). Par exemple, des faux emails de phishing sont envoyés à l’ensemble des collaborateurs, au minimum deux fois par an, pour leur apprendre à détecter un email suspect et leur transmettre les bons réflexes. Depuis les premières campagnes menées en 2015, le nombre de clics sur le lien ou d’ouvertures de pièce-jointe a diminué de moitié et le taux de signalement des messages suspects aux équipes sécurité a quasiment triplé.

180

GROUPE SOCIÉTÉ GÉNÉRALE

PILIER 3 - 2019