NATIXIS_PILLIER-III_2017

RISQUE DE NON-CONFORMITÉ La sécurité des systèmes d’information et la continuité d’activité

Plus spécifiquement,le risque lié aux activités de Marchés de capitauxfait l’objet d’un suivi rapproché,de contrôlesspécifiques de niveaux 1 et 2 piloté et mis en œuvre par une équipe dédiée au sein de la Compliance BGC. Les fraudes aux virements basées sur le « social engineering » font également l’objet de vigilance permanenteet d’actions de prévention spécifiques,ce type de fraude en constante évolution reste particulièrement prégnant et connaît des variantes touchant des métiers différents de la banque commerciale. Enfin, le risque de fuites d’information,devenuun risquemajeur,fait l’objet d’un dispositif spécifique de contrôle et d’investigation faisant intervenir des experts en matière de fraude et de sécurité des SI ainsi que les fonctionsjuridiqueset RH le cas échéant.

Ces règles et procéduresont pour objet de repérer les situations à risque en s’appuyantnotammentsur la préventionet la gestion des situationsde conflits d'intérêts,sur la conduitede diligences anti-corruptionlors de l’entrée en relation avec les tiers (clients, fournisseurs,intermédiaires)et préalablementà la mise en place de partenariatsou d’opérationsde croissanceexterne,ou encore sur l’encadrementdes recrutements. Elles s’attachent à évaluer la situation des tiers au regard des problématiques de corruption et de trafic d’influence (analyses sur leur réputationet leurs antécédents),à identifier les facteurs d’exposition au risque de corruption (telles que la présence de décideurs publics parmi les bénéficiaires directs ou indirects d’une transaction),à s’assurer de la justificationéconomiquedu rôle des différents intervenants dans une transaction, à vérifier que les versementsde fonds réaliséssont justifiés,etc. Elles visent aussi à éviter les risques de dérives dont certaines pratiques sont susceptiblesde fournir l’occasiontelle que l’offre /l’acceptationde cadeauxou d’invitations,le versementde fonds dans le cadre d’actions de mécénat, de sponsoring ou de donation,la rémunérationd’intermédiaires. Les règles et procédures de ce dispositif de prévention sont retranscritesdans la Politiqueanti-corruptionde Natixisapplicable à l’ensemblede ses entitéset de ses collaborateurs. Au niveau international, Natixis s’assure du strict respect des réglementations locales, telles que le UK Bribery Act ou le ForeignCorruptPracticesAct

LA PRÉVENTION DE LA CORRUPTION

Afin de se conformeraux exigencesintroduitespar l’article 17de la loi du 9 décembre 2016, relative à la transparence,à la lutte contre la corruption et à la modernisationde la vie économique (Sapin 2) Natixis a conduit tout au long de l’année 2017 un chantier visant à renforcercertainesrègles et procéduresde son dispositif de conformité afin de les mettre au niveau des meilleurs standards internationauxen matière de prévention de la corruption.

La sécurité des systèmes 11.5

d’information et la continuité d’activité

Le département Sécurité des systèmes d’information et continuitéd’activité (SSI-CA), organisé en filière, a pour objectifs d’assurer la protection des actifs informationnels de Natixis, d’identifier les risques (en terme de disponibilité,d’intégrité, de confidentialitéet de traçabilité de l’information),de demander la mise en œuvre de plans de remédiation le cas échéant, de maintenir l’expertiseet le conseil nécessaireauprès des métiers et de maintenir opérationnel le dispositif global de crise. Pour cela, ce département dispose de ses propres ressources pour assurer les fonctions transverses.Il s’appuie égalementsur des relais dans des métiers (Responsables de la Sécurité des Systèmes d’Informationet Responsablesdu Plan de Continuité d’Activité) ou au sein de la Direction des Systèmes d’Information. Le département SSI-CA pilote son activité par les risques. Il s’appuie sur une méthode qui, en relation avec les risques opérationnels, identifie les situations de risques redoutées par les métiers et leurs actifs informatiques porteurs de vulnérabilités. Cette méthode est désormais adoptée par le Groupe BPCE. Elle couvre en particulier le risque cyber, évalué selon des indicateurs en court de fiabilisation. L’évaluation des risques peut intervenir lors de la campagnede révision annuelle ou résulter de l’accompagnementd’un projet. En 2017, SSI-CA a suivi près de 300 projetsmétiers. La moitié d’entre eux a donné lieu à l’expression d’exigences de sécurité spécifiques afin de mieuxmaîtriserles risques.

A la lumière de ces risques, le départementSSI-CA déploie un plan annuel de contrôle permanent de niveau 2, qui couvre toutes les thématiquesde la sécurité du système d’information. Une attention particulière est portée aux contrôles des droits d’accès. Démarré en 2012, le programme de refonte de la gestiondes habilitationss’est achevéen fin d’année2017. L’outil gère environ 1,2 millions d’habilitations pour plus de 21 000 collaborateursou prestataires. Les contrôles portent également sur le respect de la politique de sécurité. Natixis a participé activementà la révision de la politique de sécurité du SI Groupe BPCE.Cette dernièreregroupeprès de 400 règles à fin 2017. Un suivi resserrédes demandesde remisesen conformité– mis en place au quatrième trimestre 2017– devrait permettre de réduirel’expositionde Natixisaux risquesSSI et CA. En complément,Natixis s’est doté d’un nouvel outil de suivi des incidents de sécurité du SI, qui permet en outre de faciliter la déclarationdes incidentsgravesaux régulateursconcernés. Les services de Natixis en charge de la sécurité des Systèmes d’information(SSI-CAet la directiondes Systèmesd’information) ont défini conjointementun plan stratégique2018-2020qui vise en priorité à mieux maîtriser le risque de cyber attaque. Il aboutiraà une transformationde notremodèlede sécurité: de la forteresse actuelle (peu ouverte et protégée par une ligne de défense unique) à un dispositif analogue à celui d’un aéroport (plus ouvert, mais dont les actifs sensibles bénéficient de protectionsaccrues).

11

133

NATIXIS Rapport sur les risques Pilier III 2017