Table of Contents Table of Contents
Previous Page  121 / 250 Next Page
Information
Show Menu
Previous Page 121 / 250 Next Page
Page Background

GROUPE CRÉDIT COOPÉRATIF

DOCUMENT DE RÉFÉRENCE

2016

121

RAPPORT DE GESTION

DU CRÉDIT COOPÉRATIF

RAPPORT

DU PRÉSIDENT

LES COMPTES

DU CRÉDIT COOPÉRATIF

INFORMATIONS

COMPLÉMENTAIRES

2

Gestion des risques

2.8.10

Sécurité des Systèmes d’information

2.8.10.1 Organisation et pilotage

de la filière SSI

La sécurité des systèmes d’information du Groupe BPCE est organisée

en filière, pilotée par la Direction de la sécurité des systèmes d’information

Groupe. La Direction définit, met en œuvre et fait évoluer les politiques SSI

Groupe. Elle rapporte de manière fonctionnelle à la DRCCP du Groupe.

Dans ce cadre, la DSSI-G :

|

anime la filière SSI regroupant : les RSSI des affiliées maisons mères,

des filiales et des GIE informatiques ;

|

assure le contrôle permanent de niveau 2 et le contrôle consolidé de

la filière SSI ainsi qu’une veille technique et réglementaire, en liaison

avec les autres départements de la Direction Risques, Conformité

et Contrôles Permanents (DRCCP) ;

|

initie et coordonne les projets groupe de réduction des risques sur

son domaine ;

|

représente le Groupe auprès des instances de place interbancaires

ou des pouvoirs publics dans son domaine.

Les RSSI du Crédit Coopératif et plus largement de tous les affiliés

maisons mères, des filiales directes et des GIE informatiques sont

rattachés fonctionnellement au RSSI Groupe. Ce lien fonctionnel

implique notamment que :

|

toute nomination de RSSI soit notifiée au RSSI Groupe ;

|

la politique sécurité des systèmes d’information Groupe soit adoptée

au sein des établissements et que chaque politique SSI locale soit

soumise à l’avis du RSSI Groupe préalablement à sa déclinaison dans

l’établissement ;

|

un reporting concernant le niveau de conformité des établissements

à la politique SSI Groupe, le contrôle permanent SSI, le niveau de

risques SSI, les principaux incidents SSI et les actions engagées soient

transmis au RSSI Groupe.

Le RSSI du Crédit Coopératif est rattaché fonctionnellement au RSSI

Groupe. Il pilote la mise en œuvre de la politique sécurité des systèmes

d’information et rend compte auprès du RSSI Groupe BPCE sur le

niveau de conformité du Crédit Coopératif à la politique SSI Groupe,

les résultats du contrôle permanent SSI, le niveau de risques SSI, les

principaux incidents SSI et les actions engagées.

Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques

opérationnels, au sein de la Direction Risque et Conformité. Il mène

sa mission en relation avec la Direction Informatique et le Contrôle

Interne. L’organe de décision relatif à la SSI est le Comité exécutif des

risques dans sa partie dédiée à la sécurité.

L’équipe SSI est renforcée depuis novembre par deux collaborateurs

externes rattachés directement au RSSI et ayant une mission

d’accompagnement du RSSI sur l’ensemble de son périmètre.

2.8.10.2 Suivi des risques liés à la sécurité des

systèmes d’information

Le Groupe BPCE a élaboré une politique de sécurité des systèmes

d’information Groupe (PSSI-G). Cette politique définit les principes directeurs

en matière de protection des systèmes d’information (SI) et précise les

dispositions à respecter d’une part, par l’ensemble des établissements du

Groupe en France et à l’étranger et, d’autre part, au travers de conventions,

par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs

établissements du Groupe.

La PSSI-G matérialise les exigences de sécurité du groupe. Elle se compose

d’une charte SSI, de 430 règles classées en 19 thématiques

(1)

et 3 documents

d’instructions organisationnelles

(2)

. Elle fait l’objet d’une révision annuelle dans

le cadre d’un processus d’amélioration continue. Ces documents et leurs

révisions ont été régulièrement approuvés par le Directoire ou le Comité de

direction générale de BPCE, puis circularisés à l’ensemble des établissements

du Groupe. Les révisions entreprises sur l’exercice 2016 n’ont pas apporté

de changement.

La PSSI-G constitue un socle minimum auquel chaque établissement doit se

conformer. À ce titre, le Crédit Coopératif a mis en place en février 2012 une

charte SSI locale déclinant la charte SSI Groupe. Cette charte SSI s’applique

au Groupe Crédit Coopératif, ainsi qu’à toute entité tierce, par le biais de

conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif.

Par ailleurs, un nouveau référentiel de 133 contrôles permanents SSI accessible

via

l’outil PILCOP, a été déployé en 2016 à l’ensemble des établissements. Il

constitue le socle des contrôles permanents SSI de niveau 2 pour le Groupe

et porte sur les 322 règles de la PSSI-G à enjeu fort ou très fort.

Chaque établissement réalise les contrôles de ce référentiel applicables au

périmètre de son système d’information.

D’autre part, la méthodologie de cartographie des risques opérationnels,

articulant les approches SSI avec celles des métiers, a été intégrée au dispositif

de cartographie des risques opérationnels groupe. Elle a été déployée à

l’ensemble des établissements en 2015. 16 risques opérationnels ayant une

composante sécurité, détaillés en 27 scénarios de risques, ont été identifiés.

Ces risques ont été révisés en 2016.

Enfin, afin de faire face à la sophistication des attaques de cybersécurité, dans

un contexte où les systèmes d’information du groupe sont de plus en plus

ouverts sur l’extérieur, le Groupe a mis en place, fin 2014, un dispositif de

vigilance cybersécurité, baptisé VIGIE.

En 2016, VIGIE a assuré une veille permanente et un partage des incidents

rencontrés dans le Groupe et des plans d’actions associés. VIGIE regroupe

17 entités

(3)

, 2 membres de l’équipe Lutte contre la Fraude aux Moyens

de Paiements et 3 membres de l’équipe SSI de BPCE. VIGIE est également

en liaison avec l’ANSSI, la Direction Centrale de la Police Judiciaire et les

principaux établissements de la place bancaire.

Cepartaged’informationentre les établissements duGroupeet leurs pairs permet

d’anticiper au plus tôt les incidents potentiels et d’éviter qu’ils se propagent.

En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes

et de crise est activé, tel que défini par le responsable du plan d’urgence et

de poursuite de l’activité (PUPA).

(1) Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne ; Sécurité des accès à Internet ; Sécurité de la messagerie électronique ;

Contrôle des accès logiques ; Sécurité des réseaux informatiques ; Lutte contre les codes malveillants ; Sécurité de la téléphonie ; Sécurité du poste de travail ; Sécurité

des développements informatiques ; Gestion des traces informatiques ; Sensibilisation et formation à la SSI des ressources humaines ; Sécurité des systèmes et des

équipements ; Sécurité des prestations sous-traitées ou externalisées ; Gestion des sauvegardes, des archives et des supports amovibles ; Sécurité de l’exploitation et

de la production informatiques ; Sécurité des réseaux informatiques sans fil, ; Sécurité de l’informatique nomade ; Sécurité de l’information numérique confidentielle ;

Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne, Sécurité des Locaux Informatiques.

(2) Fonctionnement de la filière SSI du Groupe BPCE, Contrôle permanent SSI, classification des actifs sensibles du SI.

(3) i-BP, BRED-BP, Crédit Coopératif, CASDEN-BP, Natixis, Banque Palatine, IT-CE, BPCE, BTK, BMOI, Banque des Mascareignes, BCP Luxembourg, Banque de Madagascar,

BICEC, BNC, BDSPM, S-money.

I 116 117 118 119 120 121 122 123 124 125 126 127 IV