11.4 Sécurité des systèmes d’information (SSI)

Organisation

La Direction Sécurité Groupe (DS-G) est notamment en charge de la sécurité des systèmes d’information (SSI) et de la lutte contre la cybercriminalité. Elle définit, met en œuvre et fait évoluer les politiques SSI Groupe. Elle assure le contrôle permanent et consolidé de la SSI ainsi qu’une veille technique et réglementaire. Elle initie et coordonne les projets Groupe de réduction des risques sur son domaine. Elle assure également dans son domaine la représentation du Groupe BPCE auprès des instances interbancaires de place ou des pouvoirs publics.

Une filière SSI est mise en place au sein du Groupe BPCE. Elle regroupe le responsable de la sécurité des systèmes d’information Groupe (RSSI-G), qui anime cette filière, et les responsables SSI de l’ensemble des entreprises.

À ce titre, les responsables SSI des établissements affiliés maisons mères, des filiales directes et des GIE informatiques sont rattachés fonctionnellement au RSSI-G. Ce lien fonctionnel se matérialise par des actions d’animation et de coordination. Il implique notamment que :

toute nomination de responsable SSI soit notifiée au RSSI-G ;

la politique sécurité des systèmes d’information Groupe soit adoptée au sein des entreprises selon des modalités d’application soumises à la validation du responsable SSI Groupe ;

un reporting concernant le niveau de conformité des établissements à la politique SSI Groupe, le contrôle permanent SSI, le niveau de risques SSI, les principaux incidents SSI et les actions engagées soit transmis au RSSI Groupe.

Le projet d’élaboration d’une cartographie SSI exhaustive des systèmes d’information du Groupe incluant les systèmes d’information privatifs des établissements s’est poursuivi.

Deux chantiers majeurs se poursuivent :

campagne annuelle d’évaluation de la maturité du Groupe sur les cinq piliers du référentiel NIST (Detect, Identify, Protect, Respond, Recover) afin de fixer les objectifs chiffrés, de piloter les actions et d’en mesurer l’efficacité ;

programme Groupe de gestion des identités et des droits (IAM) Groupe ayant pour objectifs :

*de disposer de référentiels Groupe pour les personnes, les applications et les organisations,

*de mettre en place une gouvernance IAM Groupe,

*d’intégrer, si possible, toutes les applications du Groupe dans l’IAM avec un provisionnement automatique et une vue globale des habilitations.

LES DISPOSITIFS MIS EN ŒUVRE POUR LUTTER CONTRE LA CYBERCRIMINALITÉ

Avec la transformation digitale, l’ouverture des systèmes d’information du Groupe sur l’extérieur se développe continûment (cloud, big data, etc.). Plusieurs de ces processus sont progressivement dématérialisés. L’évolution des usages des collaborateurs et des clients engendre également une utilisation plus importante d’internet et d’outils technologiques interconnectés (tablettes, smartphones, applications fonctionnant sur tablettes et mobiles, etc.).

De ce fait, le patrimoine du Groupe est sans cesse plus exposé aux cybermenaces. Ces attaques visent une cible bien plus large que les seuls systèmes d’information. Elles ont pour objectif d’exploiter les vulnérabilités et les faiblesses potentielles des clients, des collaborateurs, des processus métier, des systèmes d’information ainsi que des dispositifs de sécurité des locaux et des datacenters.

Un Security Operation Center (SOC) Groupe unifié intégrant un niveau 1, fonctionnant en 24x7 est opérationnel.

Plusieurs actions ont été menées, afin de renforcer les dispositifs de lutte contre la cybercriminalité :

travaux de sécurisation des sites Internet hébergés à l’extérieur ;

capacités de tests de sécurité des sites Internet et applications améliorées ;

mise en place d’un programme de Divulgation Responsable des vulnérabilités par le CERT Groupe BPCE.

Sensibilisation des collaborateurs à la cybersécurité

Outre le maintien du socle commun Groupe de sensibilisation des collaborateurs à la SSI, l’année a été marquée par la poursuite des campagnes de sensibilisation au phishing et par le renouvellement de la participation au « mois européen de la cybersécurité ».

Sur le périmètre de BPCE SA, outre les revues récurrentes des habilitations applicatives et de droits sur les ressources du SI (listes de diffusion, boîtes aux lettres partagées, dossiers partagés, etc.), la surveillance de l’ensemble des sites web publiés sur Internet et le suivi des plans de traitement des vulnérabilités sont renforcés ainsi que la surveillance du risque de fuite de données par mail ou l’utilisation de service de stockage et d’échange en ligne.

De nouvelles campagnes de sensibilisation et de formation des collaborateurs ont par ailleurs été menées :

test de phishing, campagne de sensibilisation au phishing et accompagnement des collaborateurs en situation d’échecs répétés ;

participation aux réunions d’accueil des nouveaux collaborateurs, intégrant notamment les menaces et risques liés aux situations de télétravail.