Groupe Crédit Coopératif - Document de référence 2018

RAPPORT DE GESTION

2

Gestion des risques

2.8.9.2

Travaux réalisés en 2018

Une fois la bascule réalisée, trois exercices de replis utilisateurs en septembre, octobre et novembre 2018 ont ainsi permis d’éprouver les solutions mises en place en cas d’indisponibilité du siège (site de repli et procédures métiers) et de valider la reprise des activités critiques et de criticité moyenne dans les délais attendus. En octobre, un exercice de secours informatique (piloté par BPCE-IT) a permis d’éprouver les solutions mises en place en cas d’indisponibilité d’un site de production informatique principal. Le périmètre de cet exercice était global et concernait l’ensemble des établissements du Groupe BPCE car embarquant les applications communautaires. Le système privatif du Crédit Coopératif (ASTEL) a également été testé. Les problèmes rencontrés ont tous fait l’objet de plans d’action correctifs afin de s’assurer du bon fonctionnement lors d’une bascule ultérieure.

La migration informatique en mai a impacté les procédures en vigueur et les plannings habituels des travaux PUPA, relatifs notamment au Maintien en Condition Opérationnelle ou au programme d’exercices pluriannuel. Elle a nécessité des travaux en amont afin d’adapter techniquement et fonctionnellement les dispositifs PUPA du Crédit Coopératif au futur environnement informatique, et afin d’identifier les périmètres sur lesquels repose un risque opérationnel fort et de les sécuriser. Le Plan de Repli Utilisateurs a notamment subi une refonte complète afin de pouvoir répondre aux nouvelles contraintes informatiques et aux nouveaux besoins estimés par les métiers. Le maintien en condition opérationnelle de l’ensemble des composantes du PUPA a été lancé dès le début de l’année, avec pour objectif une mise à jour globale en se positionnant en situation cible (post-bascule).

Sécurité des Systèmes d’information 2.8.10

Organisation et pilotage 2.8.10.1 de la filière SSI

Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité du Crédit Coopératif. Il mène sa mission en relation avec la Direction Informatique et le Contrôle Interne. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. Depuis la migration du système d’information du Crédit Coopératif sur la plateforme communautaire gérée par IT-CE, le RSSI assure seul l’ensemble des missions SSI au sein du Crédit Coopératif avec un RSSI suppléant qui occupe la fonction de Responsable du Plan d’Urgence et de Poursuite d’Activité. Le Groupe BPCE a élaboré une politique de sécurité des systèmes d’information Groupe BPCE (PSSI-G). Cette politique définit les principes directeurs en matière de protection des systèmes d’information (SI) et précise les dispositions à respecter d’une part, par l’ensemble des établissements du Groupe BPCE en France et à l’étranger et, d’autre part, au travers de conventions, par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs établissements du Groupe BPCE. La PSSI-G matérialise les exigences de sécurité du groupe. Elle est composée d’un cadre SSI adossé à la Charte risques, conformité et contrôle permanent Groupe, de 391 règles classées en 19 thématiques et 3 documents d’instructions organisationnelles. Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. La révision 2018 de la PSSI-G prend notamment en compte les résultats des travaux d’évaluation de conformité et d’estimation du niveau d’enjeu de chacune des règles de la PSSI-G, menés au cours de l’année avec l’ensemble des établissements et l’évolution de l’organisation et de la gouvernance du Groupe BPCE. La PSSI-G constitue un socle minimum auquel chaque établissement doit se conformer. À ce titre, Le Crédit Coopératif a mis en place une charte SSI locale déclinant la Charte SSI Groupe BPCE. La PSSI-G et la PSSI du Crédit Coopératif font l’objet d’une révision annuelle, dans le cadre d’un processus d’amélioration continue. Suivi des risques liés à la sécurité 2.8.10.2 des systèmes d’information

La sécurité des systèmes d’information BPCE est organisée en filière, pilotée par la Direction de la Sécurité Groupe BPCE. Cette Direction est rattachée à la DRCCP du Groupe BPCE. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe BPCE. Dans ce cadre, elle : anime la filière SSI regroupant : les RSSI des affiliées dont le Crédit ● Coopératif, des filiales et des GIE informatiques ; assure le contrôle permanent de niveau 2 et le contrôle consolidé de ● la filière SSI ainsi qu’une veille technique et réglementaire, en liaison avec les autres départements de la Direction Risques, Conformité et Contrôles Permanents (DRCCP) ; initie et coordonne les projets groupe de réduction des risques sur ● son domaine ; représente le Groupe BPCE auprès des instances de place ● interbancaires ou des pouvoirs publics dans son domaine. Les RSSI du Crédit Coopératif et plus largement de tous les affiliés, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe BPCE. Ce lien fonctionnel implique notamment que : toute nomination de RSSI soit notifiée au RSSI Groupe BPCE ; ● la politique sécurité des systèmes d’information Groupe BPCE soit ● adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe BPCE préalablement à sa déclinaison dans l’établissement ; un reporting concernant le niveau de conformité des établissements ● à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soient transmis au RSSI Groupe. Le RSSI du Crédit Coopératif est ainsi rattaché fonctionnellement au RSSI Groupe BPCE. Il pilote la mise en œuvre de la politique sécurité des systèmes d’information et rend compte auprès du RSSI Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique SSI Groupe BPCE, les résultats du contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées.

130

GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2018