40

GROUPE CRÉDIT COOPÉRATIF

DOCUMENT DE RÉFÉRENCE

2016

1

RAPPORT DU PRÉSIDENT

Rapport du Président sur les procédures de contrôle interne et de gestion des risques

Afin de faire face à la sophistication des attaques de cybersécurité, dans

un contexte où les systèmes d’information du Groupe sont de plus

en plus ouverts sur l’extérieur, le Groupe a mis en place fin 2014 un

dispositif de vigilance cyber sécurité, baptisé VIGIE.

Depuis 2015, VIGIE assure une veille permanente et un partage des

incidents rencontrés dans le Groupe et des plans d’actions associés.

VIGIE est également en liaison avec l’ANSSI, la Direction Centrale de

la Police Judiciaire et les principaux établissements de la place bancaire.

VIGIE est devenue un CERT depuis 2016 permettant une plus grande

visibilité vers l’extérieur.

Ce partage d’information entre les établissements du Groupe et

leurs pairs permet d’anticiper au plus tôt les incidents potentiels et

d’éviter qu’ils se propagent. En cas d’incident SSI qualifié de majeur, le

processus de gestion des alertes et de crise est activé, tel que défini

par le responsable PUPA (Plan d’urgence et de poursuite de l’activité)

et une information est transmise à la BCE.

1.3.2.2

La Sécurité des systèmes

d’information

Depuis 2014, un référentiel de contrôles permanents SSI au sein du

Groupe BPCE, portant sur l’ensemble des règles de la politique SSI à

enjeu fort, s’applique au Crédit Coopératif pour l’ensemble du système

d’information. Les résultats des contrôles permanents sont présentés

au Comité de coordination des fonctions de contrôle.

La mise en œuvre du référentiel de contrôle permanent a conduit à

renforcer la sécurité du système d’information dans le cadre d’un plan

d’action.

En outre, des tests d’intrusion sont réalisés chaque année sur les sites

internet et l’infrastructure du Crédit Coopératif, afin de s’assurer de

leur protection. Les recommandations résultant de ces audits sont

appliquées dans le cadre d’un plan d’action suivi.

1.3.2.3

La continuité d’activité

Organisation générale

L’organisation de la continuité d’activité du Crédit Coopératif est

intégrée à la filière Sécurité et Continuité d’Activités Groupe BPCE,

pilotée par la Direction de la Sécurité et Continuité d’Activité Groupe

DSCA-G au sein de la Direction Sécurité et Conformité Groupe. La

DSCA-G définit, met en œuvre et fait évoluer en tant que de besoin la

politique de Continuité d’Activité Groupe qui se matérialise à l’aide d’une

Charte de continuité d’activité, un référentiel de Bonnes Pratiques et

un référentiel de contrôles permanents permettant aux établissements

de constituer et de contrôler leur PUPA selon les meilleures pratiques

observées sur la Place.

Le Responsable du Plan d’urgence et de poursuite d’activité – RPUPA

du Crédit Coopératif est rattaché fonctionnellement au RPUPA Groupe.

Il pilote la mise en œuvre de la déclinaison locale de la politique de

continuité d’activité Groupe BPCE et rend compte auprès du RPUPA

Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la

politique Groupe en vigueur et sur les résultats du contrôle permanent.

Le RPUPA est rattaché hiérarchiquement à la Direction Sécurité et

Continuité d’Activité, au sein de la Direction Risques et Conformité.

Il mène sa mission en relation avec la Direction Informatique et le

Contrôle Interne et anime un réseau de correspondants PUPA au

sein des métiers qui ont en charge de veiller au maintien en condition

opérationnelle du PUPA sur leur périmètre respectif. Deux instances

assurent, d’une part, le suivi opérationnel du dispositif de Continuité

d’Activité au sein du Groupe Crédit Coopératif (Comité de suivi

opérationnel de la continuité d’activité) et d’autre part, son pilotage

(Comité Exécutif des risques).

Le RPUPA est également partie prenante dans le processus de gestion

d‘alertes et de crises mis en place au sein du Crédit Coopératif

permettant la prise en charge, le cas échéant à l’aide d’une Cellule de

Crise décisionnelle, des incidents perturbateurs à forts impacts.

La continuité d’activité

Le contrôle permanent de premier niveau du PUPA est réalisé au

sein du Crédit Coopératif par les Correspondants PUPA lors d’une

campagne annuelle. Le contrôle de second niveau est réalisé suivant

la même périodicité, directement par le RPUPA, par délégation du

Responsable du contrôle permanent. Il s’effectue à l’aide de l’outil

Groupe BPCE « PILCOP », suivant un plan de contrôle fourni par la

DSCA-G reprenant 40 questions réparties sur 8 thématiques associées

aux règles du référentiel de Bonnes Pratiques. Les résultats des contrôles

permanents PUPA sont validés par l’instance de suivi opérationnel du

PUPA, puis présentés à l’instance de pilotage.

Le contrôle périodique prend en compte également différentes

composantes PUPA dans le cadre de ses missions au sein du Groupe

Crédit Coopératif.

En complément, les travaux de maintien en condition opérationnelle

du Plan d’Urgence et de Poursuite d’Activité incluent un programme

d’exercices pluriannuel.

Ainsi deux exercices de repli utilisateurs de grande ampleur avaient

été planifiés pour 2016. Celui de juin a été annulé suite à un incident

informatique survenu fin mai. Celui d’octobre s’est quant à lui bien

tenu. Cet exercice, en addition au déclenchement réel du plan de repli

utilisateurs en juillet (consécutif à un incident électrique ayant touché

les locaux du siège) ont permis de valider la capacité de reprise des

unités opérant des traitements indispensables au fonctionnement de

l’entreprise en contexte d’indisponibilité des sites nominaux. L’efficacité

des moyens de secours (site de repli collaborateurs) et des procédures

métiers, prévus dans le cadre du PUPA des unités concernées, a pu une

nouvelle fois être établie dans le cadre de ces opérations.

De plus, en avril 2016, un exercice de secours informatique d’une

semaine simulant la perte du centre de production informatique

principal a été mené avec succès. Un second exercice de grande

ampleur concernant l’ensemble des infrastructures de téléphonie s’est

déroulé en novembre. Ces deux exercices valident ainsi l’efficacité des

solutions mises en place pour assurer la reprise et la continuité du

Système d’Information du Crédit Coopératif.

Il est à noter qu’un incident informatique de grande ampleur est

survenu dans un contexte de sur-incident en mai 2016. En effet, une

panne matérielle d’un serveur critique est intervenue alors même

qu’une anomalie empêchait depuis deux jours le bon fonctionnement

du Plan de Reprise d’Activité. Des plans d’action de sécurisation des

infrastructures ont été mis en place à la suite de cet incident.

Enfin, tout au long de l’année 2016, différents exercices PCA concernant

les prestations de service essentielles externalisées ont été réalisées,

permettant de s’assurer de l’efficience des plans de secours de nos

prestataires les plus critiques.