Groupe Crédit coopératif - Document de référence 2016

RAPPORT DE GESTION DU CRÉDIT COOPÉRATIF

RAPPORT DU PRÉSIDENT

LES COMPTES DU CRÉDIT COOPÉRATIF

INFORMATIONS COMPLÉMENTAIRES

Gestion des risques

2.8.10 Sécurité des Systèmes d’information

2.8.10.1 Organisation et pilotage de la filière SSI

2.8.10.2 Suivi des risques liés à la sécurité des systèmes d’information Le Groupe BPCE a élaboré une politique de sécurité des systèmes d’information Groupe (PSSI-G). Cette politique définit les principes directeurs en matière de protection des systèmes d’information (SI) et précise les dispositions à respecter d’une part, par l’ensemble des établissements du Groupe en France et à l’étranger et, d’autre part, au travers de conventions, par toute entité tierce dès lors qu’elle accède aux SI d’un ou plusieurs établissements du Groupe. La PSSI-G matérialise les exigences de sécurité du groupe. Elle se compose d’une charte SSI, de 430 règles classées en 19 thématiques (1) et 3 documents d’instructions organisationnelles (2) . Elle fait l’objet d’une révision annuelle dans le cadre d’un processus d’amélioration continue. Ces documents et leurs révisions ont été régulièrement approuvés par le Directoire ou le Comité de direction générale de BPCE, puis circularisés à l’ensemble des établissements du Groupe. Les révisions entreprises sur l’exercice 2016 n’ont pas apporté de changement. La PSSI-G constitue un socle minimum auquel chaque établissement doit se conformer. À ce titre, le Crédit Coopératif a mis en place en février 2012 une charte SSI locale déclinant la charte SSI Groupe. Cette charte SSI s’applique au Groupe Crédit Coopératif, ainsi qu’à toute entité tierce, par le biais de conventions, dès lors qu’elle se connecte aux SI du Crédit Coopératif. Par ailleurs, un nouveau référentiel de 133 contrôles permanents SSI accessible via l’outil PILCOP, a été déployé en 2016 à l’ensemble des établissements. Il constitue le socle des contrôles permanents SSI de niveau 2 pour le Groupe et porte sur les 322 règles de la PSSI-G à enjeu fort ou très fort. Chaque établissement réalise les contrôles de ce référentiel applicables au périmètre de son système d’information. D’autre part, la méthodologie de cartographie des risques opérationnels, articulant les approches SSI avec celles des métiers, a été intégrée au dispositif de cartographie des risques opérationnels groupe. Elle a été déployée à l’ensemble des établissements en 2015. 16 risques opérationnels ayant une composante sécurité, détaillés en 27 scénarios de risques, ont été identifiés. Ces risques ont été révisés en 2016. Enfin, afin de faire face à la sophistication des attaques de cybersécurité, dans un contexte où les systèmes d’information du groupe sont de plus en plus ouverts sur l’extérieur, le Groupe a mis en place, fin 2014, un dispositif de vigilance cybersécurité, baptisé VIGIE. En 2016, VIGIE a assuré une veille permanente et un partage des incidents rencontrés dans le Groupe et des plans d’actions associés. VIGIE regroupe 17 entités (3) , 2 membres de l’équipe Lutte contre la Fraude aux Moyens de Paiements et 3 membres de l’équipe SSI de BPCE. VIGIE est également en liaison avec l’ANSSI, la Direction Centrale de la Police Judiciaire et les principaux établissements de la place bancaire. Cepartaged’informationentre les établissements duGroupeet leurs pairs permet d’anticiper au plus tôt les incidents potentiels et d’éviter qu’ils se propagent. En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes et de crise est activé, tel que défini par le responsable du plan d’urgence et de poursuite de l’activité (PUPA).

La sécurité des systèmes d’information du Groupe BPCE est organisée en filière, pilotée par la Direction de la sécurité des systèmes d’information Groupe. La Direction définit, met en œuvre et fait évoluer les politiques SSI Groupe. Elle rapporte de manière fonctionnelle à la DRCCP du Groupe. Dans ce cadre, la DSSI-G : | anime la filière SSI regroupant : les RSSI des affiliées maisons mères, des filiales et des GIE informatiques ; | assure le contrôle permanent de niveau 2 et le contrôle consolidé de la filière SSI ainsi qu’une veille technique et réglementaire, en liaison avec les autres départements de la Direction Risques, Conformité et Contrôles Permanents (DRCCP) ; | initie et coordonne les projets groupe de réduction des risques sur son domaine ; | représente le Groupe auprès des instances de place interbancaires ou des pouvoirs publics dans son domaine. Les RSSI du Crédit Coopératif et plus largement de tous les affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI Groupe. Ce lien fonctionnel implique notamment que : | toute nomination de RSSI soit notifiée au RSSI Groupe ; | la politique sécurité des systèmes d’information Groupe soit adoptée au sein des établissements et que chaque politique SSI locale soit soumise à l’avis du RSSI Groupe préalablement à sa déclinaison dans l’établissement ; | un reporting concernant le niveau de conformité des établissements à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soient transmis au RSSI Groupe. Le RSSI du Crédit Coopératif est rattaché fonctionnellement au RSSI Groupe. Il pilote la mise en œuvre de la politique sécurité des systèmes d’information et rend compte auprès du RSSI Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique SSI Groupe, les résultats du contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées. Le RSSI est rattaché hiérarchiquement à la Direction Sécurités et Risques opérationnels, au sein de la Direction Risque et Conformité. Il mène sa mission en relation avec la Direction Informatique et le Contrôle Interne. L’organe de décision relatif à la SSI est le Comité exécutif des risques dans sa partie dédiée à la sécurité. L’équipe SSI est renforcée depuis novembre par deux collaborateurs externes rattachés directement au RSSI et ayant une mission d’accompagnement du RSSI sur l’ensemble de son périmètre.

2

(1) Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne ; Sécurité des accès à Internet ; Sécurité de la messagerie électronique ; Contrôle des accès logiques ; Sécurité des réseaux informatiques ; Lutte contre les codes malveillants ; Sécurité de la téléphonie ; Sécurité du poste de travail ; Sécurité des développements informatiques ; Gestion des traces informatiques ; Sensibilisation et formation à la SSI des ressources humaines ; Sécurité des systèmes et des équipements ; Sécurité des prestations sous-traitées ou externalisées ; Gestion des sauvegardes, des archives et des supports amovibles ; Sécurité de l’exploitation et de la production informatiques ; Sécurité des réseaux informatiques sans fil, ; Sécurité de l’informatique nomade ; Sécurité de l’information numérique confidentielle ; Authentification des clients pour les opérations de Banque à Distance et de Paiement en ligne, Sécurité des Locaux Informatiques. (2) Fonctionnement de la filière SSI du Groupe BPCE, Contrôle permanent SSI, classification des actifs sensibles du SI. (3) i-BP, BRED-BP, Crédit Coopératif, CASDEN-BP, Natixis, Banque Palatine, IT-CE, BPCE, BTK, BMOI, Banque des Mascareignes, BCP Luxembourg, Banque de Madagascar, BICEC, BNC, BDSPM, S-money.

121

GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2016