Groupe Crédit Coopératif - Document de référence 2018

RAPPORT SUR LE GOUVERNEMENT D'ENTREPRISE

RAPPORT DE GESTION

RAPPORT FINANCIER

ÉLÉMENTS COMPLÉMENTAIRES

Gestion des risques

Le dispositif de pilotage de la gouvernance et des risques SSI a été renforcé en 2018, notamment par l’intégration de nouvelles fonctionnalités dans la plate-forme Archer Groupe de cartographie des risques SSI : gestion de la PSSI-G permettant de piloter et d’animer : ● l’identification par chaque établissement des règles de la PSSI-G £ applicables à son périmètre (détourage), l’évaluation par chaque établissement, de sa conformité aux règles £ détourées de la PSSI-G, l’instruction par chaque établissement de dérogations portant sur £ les règles détourées pour lesquelles un défaut de conformité est constaté ; gestion des plans d’actions SSI ; ● classification des actifs du SI. ● Dans le cadre du programme Groupe BPCE de mise en conformité aux exigences du règlement européen relatif à la protection des données personnelles (RGPD), un dispositif d’accompagnement RGPD des projets a été mis en place y compris les projets digitaux avec un fonctionnement adapté au cycle de développement agile. Par ailleurs, le Groupe BPCE est particulièrement vigilant en matière de lutte contre la cybercriminalité. Plusieurs actions ont été menées en 2018 : renforcement des contrôles d’accès aux applications. En lien avec ● Natixis, le Groupe BPCE a renforcé le dispositif de révision des droits d’accès aux SI tranversaux (Natixis, BPCE) accordés aux établissements ; renforcement de la détection des flux et des événements atypiques ● au sein des systèmes d’information (détection des cyberattaques) : constitution d’un Security Operation Center (SOC) Groupe BPCE £ unifié intégrant un niveau 1, fonctionnant en 24/7, intégration du Computer Emergency Response Team (CERT) £ Groupe BPCE à la communauté InterCERT-FR animée par l’ANSSI, projet en cours de renforcement de la présence au sein de la £ communauté de CERT européenne, élargissement planifié début 2019 de la communauté VIGIE, £ dispositif collectif de vigilance du groupe, aux établissements bancaires Banques Populaires, Crédit Coopératif et Caisses d’Épargne pour améliorer les échanges et la veille concernant les SI privatifs de ces établissements ; sensibilisation des collaborateurs à la cyberécurité. ● Outre le maintien du socle commun groupe de sensibilisation des collaborateurs à la SSI, l’année 2018 a été marquée, pour le Groupe BPCE, par l’élaboration d’un nouveau plan de formation/sensibilisation SSI pour mise en œuvre en 2019. De nouvelles campagnes de sensibilisation des collaborateurs ont également été menées : parcours de sensibilisation RGPD ; ●

test de phishing et campagne de sensibilisation au phishing ; ● participation aux réunions d’accueil des nouveaux collaborateurs. ● En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes et de crise est activé, tel que défini par le responsable du plan d’urgence et de poursuite de l’activité (PUPA). Travaux réalisés en 2018 2.8.10.3 La migration informatique du Crédit Coopératif vers la plateforme gérée par IT-CE a constitué le principal événement de l’année en matière de sécurité informatique. Cette migration constitue une amélioration très sensible du profil de risque informatique de la banque. Le premier semestre de l’année 2018 a été consacré à la poursuite des travaux de consolidation des différents processus participant à la sécurité du système d’information du Crédit Coopératif. Dans ce contexte, le renforcement des composantes fonctionnelles de la sécurité a été privilégié au détriment des investissements sur un socle non pérenne. Les projets techniques se sont ainsi limités à la mise à jour des équipements du système d’information les plus exposés en termes de menaces et de vulnérabilités. Dans un contexte de recrudescence des cyberattaques, l’accent a été mis sur la détection des menaces et leur résolution. L’équipe SSI a ainsi travaillé sur l’enrichissement des scénarios du système de management de la sécurité (SIEM) permettant la détection d’incidents avérés ou potentiels à partir de corrélation de journaux d’événements de différents équipements clés du système d’information. Le Crédit Coopératif est partie prenante du réseau Vigie (CERT BPCE) qui permet un échange rapide et efficace des alertes en cours dans le Groupe BPCE et sur la place ainsi que le partage de plans d’actions, rendant encore plus efficace les dispositifs de protection. Lors de la migration du système d’information, l’équipe SSI s’est assurée du maintien du niveau de sécurité du système cible au regard des exigences en matière de sécurité du système d’information et tout particulièrement s’agissant des thématiques de droits d’accès et processus d’habilitations au futur système. Au second semestre 2018, dans un contexte post-migration, un des axes principaux de travail a porté sur la thématique des droits d’accès et plus prioritairement sur la gestion des habilitations. À titre d’illustration, l’équipe SSI a mené une revue des droits d’accès aux transactions sensibles ainsi qu’aux dossiers et boites aux lettres génériques afin de restreindre les accès des collaborateurs aux dossiers et boites mails nécessaires à leur activité. La priorité a également porté sur la sensibilisation et la formation des collaborateurs en matière de SSI. Il a pu être constaté suite à ces travaux une amélioration sensible du niveau de sensibilisation des collaborateurs aux problématiques de cyber sécurité et de fuites de données, leur permettant d’identifier plus efficacement les menaces et les risques afférents et de mettre en œuvre les bonnes pratiques attendues en la matière, comme en témoigne les remontées d’alertes à la boite aux lettres d’alerte dédiée, supervisée par la RSSI.

2

131

GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2018