Société Générale / Rapport sur les risques 2019

3

DISPOSITIF DE GESTION DES RISQUES ET CONTRÔLE INTERNE GESTION DES RISQUES

Risques liés à la sécurité des biens et des personnes En mai 2018, la Direction de la Sécurité Groupe a été créée afin de porter la sécurité globale, avec pour ambition de placer Société Générale dans les meilleurs standards en matière de sécurité. Cette Direction est en charge de définir une vision globale et prospective de la sécurité permettant de protéger les personnes, les biens, les actifs matériels et immatériels du Groupe, de coordonner la planification des actions permettant, en toutes circonstances, le maintien des activités vitales de la banque et de contribuer, le cas échéant, à la gestion des crises. A cette fin, les principales missions de cette Direction sont les suivantes : définir une vision globale de la sécurité au niveau du Groupe ; p identifier les menaces et les risques de sécurité auxquels le Groupe p est confronté (vision actuelle et prospective) ainsi que les faiblesses du Groupe face à ces menaces ; élaborer et diffuser les politiques et dispositifs Groupe sécurisant p davantage nos activités et permettant de faire face à des crises sécuritaires ; organiser et mettre en place le dispositif de pilotage de la sécurité et p de gestion de crise du Groupe ; coordonner les relations avec les autorités publiques de sécurité p nationales, européennes et internationales dans le domaine de la sécurité ; développer et coordonner l’intelligence économique ; p contribuer à la lutte contre la fraude ; p renforcer la culture sécurité dans le Groupe (formation, p communication ...). La Direction de la sécurité du Groupe joue le rôle de première ligne de défense sur les sujets de sécurité. Risques liés à la sécurité de l'information et aux systèmes d’information L’information constitue un patrimoine stratégique pour Société Générale. Qu’elle soit sur support papier, numérique ou échangée oralement, l’utilisation et l’accès à l’information doit se faire dans le respect des réglementations et lois en vigueur. Elle doit être manipulée par les seules personnes ayant besoin d’en connaître, ce afin d’éviter toute fuite d’information ou d’accès illégitime qui pourrait exposer la banque, ses clients et ses collaborateurs à des conséquences indésirables. La Direction de la Sécurité Groupe, logée au niveau du Secrétariat général, définit la politique de sécurité de l’information du Groupe et a pour mission de coordonner les dispositifs en matière de gestion, de veille et de communication relative à la sécurité de l’information. Ces dispositifs peuvent être regroupés en cinq grandes catégories : identifier, protéger, détecter, répondre, se rétablir. Ces dispositifs sont déclinés au sein de chaque BU/SU afin de réduire les risques résiduels liés à la sécurité de l’information, en coordination avec le Secrétariat général. En ce qui concerne les systèmes informatiques, le responsable de la sécurité des systèmes d’information et des risques opérationnels informatiques est logé au niveau de la Direction Ressources et Transformation numérique. Sous l’autorité fonctionnelle du Directeur de la Sécurité Groupe, il propose la stratégie des moyens de protection de l’information dématérialisée et anime la communauté de la sécurité des systèmes d’information. Les dispositifs de sécurité des systèmes

sont alignés avec les standards du marché (NIST, ISO 27002), et déclinés dans chaque BU/SU. Sur le plan opérationnel, le Groupe s’appuie sur une cellule CERT ( Computer Emergency Response Team ) en charge de la gestion des incidents, de la veille sécuritaire et de la lutte contre la cybercriminalité. Cette équipe fait appel à de multiples sources d’information et de surveillance, internes comme externes. Vu le nombre et la sophistication croissants des attaques numériques, le risque de cybercriminalité s’avère de plus en plus significatif pour les acteurs de l’industrie bancaire. Société Générale le place au cœur de ses préoccupations afin de protéger ses clients, les données et les systèmes d’information. Il est adressé de manière coopérative par les filières sécurité des systèmes d’information et risques opérationnels et il est suivi par la Direction générale dans le cadre d’un schéma directeur Sécurité des Systèmes d'Information (SSI). Ainsi, pour accompagner le plan stratégique Groupe « Transform to grow », un schéma directeur SSI est structuré autour de 5 axes majeurs qui guident les actions à horizon 2020 : la sécurité pour les clients de la banque : améliorer l’expérience p numérique sécurisée et renforcer la culture cyber-sécurité de nos clients ; la protection des actifs clés : poursuivre les actions de sécurisation p au plus près de la donnée et la sécurisation des applications les plus sensibles ; la poursuite du renfort capacités de détection et de réaction du p Groupe ; le développement de l’agilité et des zones de confiance de nos p systèmes et processus informatiques afin de faciliter les échanges en internes et avec nos partenaires ; le développement de l’expertise de la filière SSI en créant un Cyber p Institute, la sensibilisation et l’accompagnement des collaborateurs. Une équipe en central à la Direction des Ressources et de la Transformation Numérique est en charge de la gestion et du suivi des risques opérationnels informatiques. Les principales missions de l’équipe sont : d’identifier et d’évaluer les risques majeurs informatiques pour le p Groupe, incluant les scénarios extrêmes de risque (ex. : cyber-attaque, défaillance d’un prestataire), pour permettre à la banque d’améliorer la connaissance de ses risques, d’être mieux préparée à des scénarii de risques extrêmes et de mieux aligner ses investissements avec ses risques informatiques ; de fournir des éléments permettant au management de la banque p de piloter les risques en particulier via des KRI ( Key Risk Indicators ). Ceux-ci sont communiqués au comité risques de Société Générale et au Comité des risques du Conseil d’administration. Ils sont revus régulièrement pour rester alignés avec la stratégie SI et SSI et leurs objectifs ; plus généralement, de s’assurer de la qualité et de la fiabilité de p l’ensemble des dispositifs adressant les risques opérationnels informatiques. Une attention particulière est portée au dispositif de contrôle permanent de ses risques informatiques, qui s’appuie sur la définition de contrôles normatifs SI/SSI et l’accompagnement du Groupe dans le déploiement de la supervision managériale sur ce sujet. En 2018 une nouvelle version des contrôles normatifs SI/SSI a été élaborée afin de renforcer l’alignement avec les standards internationaux (ISO 27002 et COBIT V5). La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de risques opérationnels et la seconde ligne de défense est assurée par la Direction des risques.

30

GROUPE SOCIÉTÉ GÉNÉRALE

PILIER 3 - 2019