3

GOUVERNEMENT D’ENTREPRISE ET CONTRÔLE INTERNE

RAPPORT SUR LE CONTRÔLE INTERNE

97

GROUPAMA SA

DOCUMENT DE RÉFÉRENCE

2016

-

la cartographie des processus ;

❯

la description desprocessus et deleurs activités (procédures) ;

❯

permettant la remontéedans OROp ;

la définition des contrôles permanents et les résultats

❯

les indicateursde résultats ;

❯

Direction Générale etvalidées parle conseil d’administration.

les politiquesde G2S : instructionset orientationsdéfinies par la

❯

Le Plan de Continuité d’Activités (PCA) de G2S

En 2016, une campagne de réactualisation des documents de

référence des métiers BIA 

(1)

et PCM 

(2)

a été conduite par toutes

les directions deG2S.

Le corpus documentaire du PCA de G2S est en cours de

finalisation. Toutes les composantes transverses du PCA (PGC 

(3)

,

PRU 

(4)

, PSI 

(5)

, PMCO 

(6)

) sont définies.

2016 a également été consacrée au développement d’un nouvel

outil PCA de type Intranet : IRM (Involvement in Risks

Management).

Il recouvre l’ensemble des informations sur lesquelles s’appuie la

continuité métier :

gestion de l’ensembledes données desBIAs ;

❯

gestion desannuairesPCA ;

❯

stockage centralisé etaccès auxPlans de ContinuitéMétier.

❯

consulter à tout moment l’ensemble des dispositifs relatifs à la

continuité d’activité deG2S.

Grâce à son ergonomie, cet outil facilitera la réactualisation

régulière des directions et permettra à tous les acteurs du PCA de

décrits dans cePCA.

L’organisation de plusieurs exercices opérationnels a permis de

s’assurer de la mise en œuvre effective des plans de secours

En 2016, des exercices de secours ont été également réalisés

pour les autres entités du Groupe, ainsi que des exercices de PSI

effectuéspar Groupama SA.

Contrôle et Sécurité des systèmes d’information

Le RSSI, Responsablede la Sécurité des Systèmes d’Information

du Groupe définit la politique groupe de sécurité des systèmes

d’information (PGSSI) et pilote le déploiement de la démarche

sécurité dans le Groupe. Il exerce également la mission de RSSIE

(Entreprise) pour le compte deGroupamaSA.

de maîtrise des risques majeurs groupe relatifs aux systèmes

d’informations.

Par ailleurs, depuis fin 2013, la fonction RSSIG pilote les dispositifs

Ces RMG font l’objet d’un examen semestriel par la Direction de

L’urbanisme, Transformation digitale, Pilotage et Risques (DUTP

de G2S), qui donne lieu à rapport permettant d’évaluer la

pertinencedes dispositifsde maîtrise des activitésmis en œuvre et

de suivre les plans d’améliorationde la maîtrise des risques. Ces

mêmes risques sont régulièrement examinés par le Comité des

Risques Opérationnels Groupe et une fois par an en Comité des

Risques Groupe.

Les principalesactions conduites sur l’année2016 sont :

l’extension des missions de contrôle de G2S à l’ensemble des

❯

entités du Groupe en lien avec les responsables Sécurité,

désignés au sein des entités du périmètre France et

International ;

la finalisation du renforcementet de l’extension de la prestation

❯

de surveillance àde nouveaux domaines (24 heures ur 24) ;

la poursuite du plan de formation des développeurs aux

❯

nouvelles menaces pour acquérir le savoir-faire nécessaire au

développement d’applications web non vulnérables ;

des vulnérabilités.

la construction du référentiel de réaction sur événements,

❯

permettant de couvrir la complexité croissante des attaques et

directeurs à venir pour la période 2016-2019. Sa déclinaison

opérationnelle adébuté en 2016.

Au 1

er

 semestre 2015, G2S a construit un nouveau schéma

directeur sécurité dont l’objectif est de définir les principes

Contrôle et Sécurité des moyens logistiques

équipements et immeubles permettant de satisfaire les clients du

GIE en respectant la législation envigueur.

Le contrôle et le suivi des locaux, des installations et des

équipements se caractérisent par la gestion du cycle de vie des

La conformité des immeubles est contrôlée régulièrement.Toutes

les anomalies sont listées dans un plan de progrès, suivi

mensuellement ausein d’un groupe detravail SécuritéLogistique.

G2S dispose pour chaque immeuble géré par G2S et occupé par

du personnel de Groupama SA d’une fiche qui matérialise les

contrôles réglementaires. Tous les trimestres, ces fiches sont

contrôlées par les équipes du pôle Sécurité, Secours et

Conformitéde G2S. Les résultats et les rapports seront enregistrés

dans l’outil OROp en2016.

Gestion des incidents

G2S dispose pour ses activités métiers Informatique et Logistique

d’un dispositif de déclaration des Incidents qui s’appuie sur un

outil qui centralise l’ensemble des incidents et permet de suivre

leur résolution au travers de « workflow » impliquant les différents

groupes decompétence deG2S.

Les incidents majeurs impactant la disponibilité des services

informatiques et logistiques sont par ailleurs enregistrés depuis

2015 dans l’outil communautaire de gestions des risques

opérationnels OROp.

spécifiqueset de recommandationsvisant notammentà établir les

actions à mener pour anticiper la survenued’incidentde ce type et

à améliorer le déclenchement et les modalités de la gestion de

Les incidents significatifs peuvent donner lieu à des audits

crise d’incidentmajeur.

BIA : BusinessImpactAnalysis.

(1)

PCM :Plan de Continuité Métier.

(2)

PGC :Plan de Gestionde Crise.

(3)

PRU : Plan deRepli Utilisateur.

(4)

PSI : Plan de Secours Informatique.

(5)

PMCO : Plan de Maintien en Conditions Opérationnelles.

(6)