Groupe Crédit coopératif - Document de référence 2016

1 RAPPORT DU PRÉSIDENT

Rapport du Président sur les procédures de contrôle interne et de gestion des risques

sein des métiers qui ont en charge de veiller au maintien en condition opérationnelle du PUPA sur leur périmètre respectif. Deux instances assurent, d’une part, le suivi opérationnel du dispositif de Continuité d’Activité au sein du Groupe Crédit Coopératif (Comité de suivi opérationnel de la continuité d’activité) et d’autre part, son pilotage (Comité Exécutif des risques). Le RPUPA est également partie prenante dans le processus de gestion d‘alertes et de crises mis en place au sein du Crédit Coopératif permettant la prise en charge, le cas échéant à l’aide d’une Cellule de Crise décisionnelle, des incidents perturbateurs à forts impacts. La continuité d’activité Le contrôle permanent de premier niveau du PUPA est réalisé au sein du Crédit Coopératif par les Correspondants PUPA lors d’une campagne annuelle. Le contrôle de second niveau est réalisé suivant la même périodicité, directement par le RPUPA, par délégation du Responsable du contrôle permanent. Il s’effectue à l’aide de l’outil Groupe BPCE « PILCOP », suivant un plan de contrôle fourni par la DSCA-G reprenant 40 questions réparties sur 8 thématiques associées aux règles du référentiel de Bonnes Pratiques. Les résultats des contrôles permanents PUPA sont validés par l’instance de suivi opérationnel du PUPA, puis présentés à l’instance de pilotage. Le contrôle périodique prend en compte également différentes composantes PUPA dans le cadre de ses missions au sein du Groupe Crédit Coopératif. En complément, les travaux de maintien en condition opérationnelle du Plan d’Urgence et de Poursuite d’Activité incluent un programme d’exercices pluriannuel. Ainsi deux exercices de repli utilisateurs de grande ampleur avaient été planifiés pour 2016. Celui de juin a été annulé suite à un incident informatique survenu fin mai. Celui d’octobre s’est quant à lui bien tenu. Cet exercice, en addition au déclenchement réel du plan de repli utilisateurs en juillet (consécutif à un incident électrique ayant touché les locaux du siège) ont permis de valider la capacité de reprise des unités opérant des traitements indispensables au fonctionnement de l’entreprise en contexte d’indisponibilité des sites nominaux. L’efficacité des moyens de secours (site de repli collaborateurs) et des procédures métiers, prévus dans le cadre du PUPA des unités concernées, a pu une nouvelle fois être établie dans le cadre de ces opérations. De plus, en avril 2016, un exercice de secours informatique d’une semaine simulant la perte du centre de production informatique principal a été mené avec succès. Un second exercice de grande ampleur concernant l’ensemble des infrastructures de téléphonie s’est déroulé en novembre. Ces deux exercices valident ainsi l’efficacité des solutions mises en place pour assurer la reprise et la continuité du Système d’Information du Crédit Coopératif. Il est à noter qu’un incident informatique de grande ampleur est survenu dans un contexte de sur-incident en mai 2016. En effet, une panne matérielle d’un serveur critique est intervenue alors même qu’une anomalie empêchait depuis deux jours le bon fonctionnement du Plan de Reprise d’Activité. Des plans d’action de sécurisation des infrastructures ont été mis en place à la suite de cet incident. Enfin, tout au long de l’année 2016, différents exercices PCA concernant les prestations de service essentielles externalisées ont été réalisées, permettant de s’assurer de l’efficience des plans de secours de nos prestataires les plus critiques.

Afin de faire face à la sophistication des attaques de cybersécurité, dans un contexte où les systèmes d’information du Groupe sont de plus en plus ouverts sur l’extérieur, le Groupe a mis en place fin 2014 un dispositif de vigilance cyber sécurité, baptisé VIGIE. Depuis 2015, VIGIE assure une veille permanente et un partage des incidents rencontrés dans le Groupe et des plans d’actions associés. VIGIE est également en liaison avec l’ANSSI, la Direction Centrale de la Police Judiciaire et les principaux établissements de la place bancaire. VIGIE est devenue un CERT depuis 2016 permettant une plus grande visibilité vers l’extérieur. Ce partage d’information entre les établissements du Groupe et leurs pairs permet d’anticiper au plus tôt les incidents potentiels et d’éviter qu’ils se propagent. En cas d’incident SSI qualifié de majeur, le processus de gestion des alertes et de crise est activé, tel que défini par le responsable PUPA (Plan d’urgence et de poursuite de l’activité) et une information est transmise à la BCE. Depuis 2014, un référentiel de contrôles permanents SSI au sein du Groupe BPCE, portant sur l’ensemble des règles de la politique SSI à enjeu fort, s’applique au Crédit Coopératif pour l’ensemble du système d’information. Les résultats des contrôles permanents sont présentés au Comité de coordination des fonctions de contrôle. La mise en œuvre du référentiel de contrôle permanent a conduit à renforcer la sécurité du système d’information dans le cadre d’un plan d’action. En outre, des tests d’intrusion sont réalisés chaque année sur les sites internet et l’infrastructure du Crédit Coopératif, afin de s’assurer de leur protection. Les recommandations résultant de ces audits sont appliquées dans le cadre d’un plan d’action suivi. Organisation générale L’organisation de la continuité d’activité du Crédit Coopératif est intégrée à la filière Sécurité et Continuité d’Activités Groupe BPCE, pilotée par la Direction de la Sécurité et Continuité d’Activité Groupe DSCA-G au sein de la Direction Sécurité et Conformité Groupe. La DSCA-G définit, met en œuvre et fait évoluer en tant que de besoin la politique de Continuité d’Activité Groupe qui se matérialise à l’aide d’une Charte de continuité d’activité, un référentiel de Bonnes Pratiques et un référentiel de contrôles permanents permettant aux établissements de constituer et de contrôler leur PUPA selon les meilleures pratiques observées sur la Place. Le Responsable du Plan d’urgence et de poursuite d’activité – RPUPA du Crédit Coopératif est rattaché fonctionnellement au RPUPA Groupe. Il pilote la mise en œuvre de la déclinaison locale de la politique de continuité d’activité Groupe BPCE et rend compte auprès du RPUPA Groupe BPCE sur le niveau de conformité du Crédit Coopératif à la politique Groupe en vigueur et sur les résultats du contrôle permanent. Le RPUPA est rattaché hiérarchiquement à la Direction Sécurité et Continuité d’Activité, au sein de la Direction Risques et Conformité. Il mène sa mission en relation avec la Direction Informatique et le Contrôle Interne et anime un réseau de correspondants PUPA au 1.3.2.3 La continuité d’activité 1.3.2.2 La Sécurité des systèmes d’information

40 GROUPE CRÉDIT COOPÉRATIF DOCUMENT DE RÉFÉRENCE 2016