3
GOUVERNEMENT D’ENTREPRISE ET CONTRÔLE INTERNE
RAPPORT SUR LE CONTRÔLE INTERNE
97
GROUPAMA SA
DOCUMENT DE RÉFÉRENCE
2016
-
la cartographie des processus ;
❯
la description desprocessus et deleurs activités (procédures) ;
❯
permettant la remontéedans OROp ;
la définition des contrôles permanents et les résultats
❯
les indicateursde résultats ;
❯
Direction Générale etvalidées parle conseil d’administration.
les politiquesde G2S : instructionset orientationsdéfinies par la
❯
Le Plan de Continuité d’Activités (PCA) de G2S
En 2016, une campagne de réactualisation des documents de
référence des métiers BIA
(1)
et PCM
(2)
a été conduite par toutes
les directions deG2S.
Le corpus documentaire du PCA de G2S est en cours de
finalisation. Toutes les composantes transverses du PCA (PGC
(3)
,
PRU
(4)
, PSI
(5)
, PMCO
(6)
) sont définies.
2016 a également été consacrée au développement d’un nouvel
outil PCA de type Intranet : IRM (Involvement in Risks
Management).
Il recouvre l’ensemble des informations sur lesquelles s’appuie la
continuité métier :
gestion de l’ensembledes données desBIAs ;
❯
gestion desannuairesPCA ;
❯
stockage centralisé etaccès auxPlans de ContinuitéMétier.
❯
consulter à tout moment l’ensemble des dispositifs relatifs à la
continuité d’activité deG2S.
Grâce à son ergonomie, cet outil facilitera la réactualisation
régulière des directions et permettra à tous les acteurs du PCA de
décrits dans cePCA.
L’organisation de plusieurs exercices opérationnels a permis de
s’assurer de la mise en œuvre effective des plans de secours
En 2016, des exercices de secours ont été également réalisés
pour les autres entités du Groupe, ainsi que des exercices de PSI
effectuéspar Groupama SA.
Contrôle et Sécurité des systèmes d’information
Le RSSI, Responsablede la Sécurité des Systèmes d’Information
du Groupe définit la politique groupe de sécurité des systèmes
d’information (PGSSI) et pilote le déploiement de la démarche
sécurité dans le Groupe. Il exerce également la mission de RSSIE
(Entreprise) pour le compte deGroupamaSA.
de maîtrise des risques majeurs groupe relatifs aux systèmes
d’informations.
Par ailleurs, depuis fin 2013, la fonction RSSIG pilote les dispositifs
Ces RMG font l’objet d’un examen semestriel par la Direction de
L’urbanisme, Transformation digitale, Pilotage et Risques (DUTP
de G2S), qui donne lieu à rapport permettant d’évaluer la
pertinencedes dispositifsde maîtrise des activitésmis en œuvre et
de suivre les plans d’améliorationde la maîtrise des risques. Ces
mêmes risques sont régulièrement examinés par le Comité des
Risques Opérationnels Groupe et une fois par an en Comité des
Risques Groupe.
Les principalesactions conduites sur l’année2016 sont :
l’extension des missions de contrôle de G2S à l’ensemble des
❯
entités du Groupe en lien avec les responsables Sécurité,
désignés au sein des entités du périmètre France et
International ;
la finalisation du renforcementet de l’extension de la prestation
❯
de surveillance àde nouveaux domaines (24 heures ur 24) ;
la poursuite du plan de formation des développeurs aux
❯
nouvelles menaces pour acquérir le savoir-faire nécessaire au
développement d’applications web non vulnérables ;
des vulnérabilités.
la construction du référentiel de réaction sur événements,
❯
permettant de couvrir la complexité croissante des attaques et
directeurs à venir pour la période 2016-2019. Sa déclinaison
opérationnelle adébuté en 2016.
Au 1
er
semestre 2015, G2S a construit un nouveau schéma
directeur sécurité dont l’objectif est de définir les principes
Contrôle et Sécurité des moyens logistiques
équipements et immeubles permettant de satisfaire les clients du
GIE en respectant la législation envigueur.
Le contrôle et le suivi des locaux, des installations et des
équipements se caractérisent par la gestion du cycle de vie des
La conformité des immeubles est contrôlée régulièrement.Toutes
les anomalies sont listées dans un plan de progrès, suivi
mensuellement ausein d’un groupe detravail SécuritéLogistique.
G2S dispose pour chaque immeuble géré par G2S et occupé par
du personnel de Groupama SA d’une fiche qui matérialise les
contrôles réglementaires. Tous les trimestres, ces fiches sont
contrôlées par les équipes du pôle Sécurité, Secours et
Conformitéde G2S. Les résultats et les rapports seront enregistrés
dans l’outil OROp en2016.
Gestion des incidents
G2S dispose pour ses activités métiers Informatique et Logistique
d’un dispositif de déclaration des Incidents qui s’appuie sur un
outil qui centralise l’ensemble des incidents et permet de suivre
leur résolution au travers de « workflow » impliquant les différents
groupes decompétence deG2S.
Les incidents majeurs impactant la disponibilité des services
informatiques et logistiques sont par ailleurs enregistrés depuis
2015 dans l’outil communautaire de gestions des risques
opérationnels OROp.
spécifiqueset de recommandationsvisant notammentà établir les
actions à mener pour anticiper la survenued’incidentde ce type et
à améliorer le déclenchement et les modalités de la gestion de
Les incidents significatifs peuvent donner lieu à des audits
crise d’incidentmajeur.
BIA : BusinessImpactAnalysis.
(1)
PCM :Plan de Continuité Métier.
(2)
PGC :Plan de Gestionde Crise.
(3)
PRU : Plan deRepli Utilisateur.
(4)
PSI : Plan de Secours Informatique.
(5)
PMCO : Plan de Maintien en Conditions Opérationnelles.
(6)