![Show Menu](styles/mobile-menu.png)
![Page Background](./../common/page-substrates/page0123.jpg)
GROUPE CRÉDIT COOPÉRATIF
DOCUMENT DE RÉFÉRENCE
2016
121
RAPPORT DE GESTION
DU CRÉDIT COOPÉRATIF
RAPPORT
DU PRÉSIDENT
LES COMPTES
DU CRÉDIT COOPÉRATIF
INFORMATIONS
COMPLÉMENTAIRES
2
Gestion des risques
2.8.10
Sécurité des Systèmes d’information
2.8.10.1 Organisation et pilotage
de la filière SSI
La sécurité des systèmes d’information du Groupe BPCE est organisée
en filière, pilotée par la Direction de la sécurité des systèmes d’information
Groupe. La Direction définit, met en œuvre et fait évoluer les politiques SSI
Groupe. Elle rapporte de manière fonctionnelle à la DRCCP du Groupe.
Dans ce cadre, la DSSI-G :
|
anime la filière SSI regroupant : les RSSI des affiliées maisons mères,
des filiales et des GIE informatiques ;
|
assure le contrôle permanent de niveau 2 et le contrôle consolidé de
la filière SSI ainsi qu’une veille technique et réglementaire, en liaison
avec les autres départements de la Direction Risques, Conformité
et Contrôles Permanents (DRCCP) ;
|
initie et coordonne les projets groupe de réduction des risques sur
son domaine ;
|
représente le Groupe auprès des instances de place interbancaires
ou des pouvoirs publics dans son domaine.
Les RSSI du Crédit Coopératif et plus largement de tous les affiliés
maisons mères, des filiales directes et des GIE informatiques sont
rattachés fonctionnellement au RSSI Groupe. Ce lien fonctionnel
implique notamment que :
|
toute nomination de RSSI soit notifiée au RSSI Groupe ;
|
la politique sécurité des systèmes d’information Groupe soit adoptée
au sein des établissements et que chaque politique SSI locale soit
soumise à l’avis du RSSI Groupe préalablement à sa déclinaison dans
l’établissement ;
|
un reporting concernant le niveau de conformité des établissements
à la politique SSI Groupe, le contrôle permanent SSI, le niveau de
risques SSI, les principaux incidents SSI et les actions engagées soient
transmis au RSSI Groupe.
Le RSSI du Crédit Coopératif est rattaché fonctionnellement au RSSI
Groupe. Il pilote la mise en œuvre de la politique sécurité des systèmes
d’information et rend compte auprès du RSSI Groupe BPCE sur le
niveau de conformité du Crédit Coopératif à la politique SSI Groupe,
les résultats du contrôle permanent SSI, le niveau de risques SSI, les
principaux incidents SSI et les actions engagées.
Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques
opérationnels, au sein de la Direction Risque et Conformité. Il mène
sa mission en relation avec la Direction Informatique et le Contrôle
Interne. L’organe de décision relatif à la SSI est le Comité exécutif des
risques dans sa partie dédiée à la sécurité.
L’équipe SSI est renforcée depuis novembre par deux collaborateurs
externes rattachés directement au RSSI et ayant une mission
d’accompagnement du RSSI sur l’ensemble de son périmètre.
2.8.10.2 Suivi des risques liés à la sécurité des
systèmes d’information
Le Groupe BPCE a élaboré une politique de sécurité des systèmes
d’information Groupe (PSSI-G). Cette politique définit les principes directeurs
en matière de protection des systèmes d’information (SI) et précise les
dispositions à respecter d’une part, par l’ensemble des établissements du
Groupe en France et à l’étranger et, d’autre part, au travers de conventions,
par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs
établissements du Groupe.
La PSSI-G matérialise les exigences de sécurité du groupe. Elle se compose
d’une charte SSI, de 430 règles classées en 19 thématiques
(1)
et 3 documents
d’instructions organisationnelles
(2)
. Elle fait l’objet d’une révision annuelle dans
le cadre d’un processus d’amélioration continue. Ces documents et leurs
révisions ont été régulièrement approuvés par le Directoire ou le Comité de
direction générale de BPCE, puis circularisés à l’ensemble des établissements
du Groupe. Les révisions entreprises sur l’exercice 2016 n’ont pas apporté
de changement.
La PSSI-G constitue un socle minimum auquel chaque établissement doit se
conformer. À ce titre, le Crédit Coopératif a mis en place en février 2012 une
charte SSI locale déclinant la charte SSI Groupe. Cette charte SSI s’applique
au Groupe Crédit Coopératif, ainsi qu’à toute entité tierce, par le biais de
conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif.
Par ailleurs, un nouveau référentiel de 133 contrôles permanents SSI accessible
via
l’outil PILCOP, a été déployé en 2016 à l’ensemble des établissements. Il
constitue le socle des contrôles permanents SSI de niveau 2 pour le Groupe
et porte sur les 322 règles de la PSSI-G à enjeu fort ou très fort.
Chaque établissement réalise les contrôles de ce référentiel applicables au
périmètre de son système d’information.
D’autre part, la méthodologie de cartographie des risques opérationnels,
articulant les approches SSI avec celles des métiers, a été intégrée au dispositif
de cartographie des risques opérationnels groupe. Elle a été déployée à
l’ensemble des établissements en 2015. 16 risques opérationnels ayant une
composante sécurité, détaillés en 27 scénarios de risques, ont été identifiés.
Ces risques ont été révisés en 2016.
Enfin, afin de faire face à la sophistication des attaques de cybersécurité, dans
un contexte où les systèmes d’information du groupe sont de plus en plus
ouverts sur l’extérieur, le Groupe a mis en place, fin 2014, un dispositif de
vigilance cybersécurité, baptisé VIGIE.
En 2016, VIGIE a assuré une veille permanente et un partage des incidents
rencontrés dans le Groupe et des plans d’actions associés. VIGIE regroupe
17 entités
(3)
, 2 membres de l’équipe Lutte contre la Fraude aux Moyens
de Paiements et 3 membres de l’équipe SSI de BPCE. VIGIE est également
en liaison avec l’ANSSI, la Direction Centrale de la Police Judiciaire et les
principaux établissements de la place bancaire.
Cepartaged’informationentre les établissements duGroupeet leurs pairs permet
d’anticiper au plus tôt les incidents potentiels et d’éviter qu’ils se propagent.
En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes
et de crise est activé, tel que défini par le responsable du plan d’urgence et
de poursuite de l’activité (PUPA).
(1) Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne ; Sécurité des accès à Internet ; Sécurité de la messagerie électronique ;
Contrôle des accès logiques ; Sécurité des réseaux informatiques ; Lutte contre les codes malveillants ; Sécurité de la téléphonie ; Sécurité du poste de travail ; Sécurité
des développements informatiques ; Gestion des traces informatiques ; Sensibilisation et formation à la SSI des ressources humaines ; Sécurité des systèmes et des
équipements ; Sécurité des prestations sous-traitées ou externalisées ; Gestion des sauvegardes, des archives et des supports amovibles ; Sécurité de l’exploitation et
de la production informatiques ; Sécurité des réseaux informatiques sans fil, ; Sécurité de l’informatique nomade ; Sécurité de l’information numérique confidentielle ;
Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne, Sécurité des Locaux Informatiques.
(2) Fonctionnement de la filière SSI du Groupe BPCE, Contrôle permanent SSI, classification des actifs sensibles du SI.
(3) i-BP, BRED-BP, Crédit Coopératif, CASDEN-BP, Natixis, Banque Palatine, IT-CE, BPCE, BTK, BMOI, Banque des Mascareignes, BCP Luxembourg, Banque de Madagascar,
BICEC, BNC, BDSPM, S-money.