Document de référence et rapport fi nancier annuel 2014 - BNP PARIBAS356

5 RISQUES ET ADÉQUATION DES FONDS PROPRES

5

Risques opérationnel, de non-conformité et de réputation

de données personnelles et bancaires. Bien que l approche sécurité mise en œuvre a démontré son effi cacité, depuis 2013, le Groupe BNP Paribas mène un programme de transformation qui vise à ajuster les moyens de sécurité pour répondre aux enjeux exposés ci-dessus.

La PSSI (Politique de Sécurité des Systèmes d Information) de BNP Paribas est déclinée en un ensemble de d ocuments de référence adaptés aux divers besoins du Groupe (tant fonctionnels que techniques). On y retrouve la politique générale de sécurité, différentes politiques plus spécifi ques à certaines thématiques de la sécurité des systèmes d information, la formulation d exigences structurées selon les axes de la norme ISO 27001, des guides pratiques qui accompagnent les exigences de sécurité, des procédures opérationnelles et l ensemble des documents de sensibilisation des collaborateurs et utilisateurs des systèmes d information du Groupe. L ensemble des exigences a été revu avec une volonté de cohérence, d ajustement à l évolution des risques de sécurité.

Ce cadre de référence est décliné par métier, prenant en compte les contraintes réglementaires, l exposition au risque sécurité du métier et les menaces spécifi ques qu il encourt. Pour ce faire, chaque métier utilise une démarche de gestion des risques sécurité harmonisée au sein du Groupe (la méthodologie retenue est l ISO 27005 complétée de la méthodologie française EBIOS d analyse de risques), des indicateurs d évaluation des risques et le suivi du plan d action. Cette démarche est complétée de plans de contrôles sur la sécurité des systèmes d information qui couvrent l ensemble des actifs clés du Groupe d un point de vue effi cacité (déploiement et qualité) et mesure le niveau de maturité des organisations. En 2014, les contrôles dits de deuxième niveau ont été complètement revus. Elle s inscrit dans le contrôle permanent et le contrôle périodique présent au sein de chaque activité bancaire, en particulier s agissant de l arrêté du 3 novembre 2014 se substituant au règlement CRBF 97-02 en France ou d autres réglementations similaires ailleurs.

Chaque métier du Groupe BNP Paribas possède des facteurs de risques liés à la sécurité de l information qui lui sont spécifi ques tandis que d autres sont communs à tous. La politique de maîtrise du risque sécurité prend en compte les dimensions propres aux métiers, souvent rendues plus complexes par les spécifi cités nationales culturelles et légales des pays dans lesquels ces métiers exercent leurs activités. Le cadre de gestion des risques de sécurité a été revu en 2014 afi n d améliorer le processus d analyse des risques de sécurité sur des processus Métiers majeurs.

La disponibilité des systèmes d information est un élément constitutif clé de la continuité des opérations bancaires en cas de sinistre ou de crise. Même s il est impossible de garantir une disponibilité à 100 %, le Groupe BNP Paribas maintient, améliore, et vérifi e régulièrement les dispositifs de secours et de fiabilité (robustesse) de ses outils informatiques conformément à ses valeurs d excellence opérationnelle,

au renforcement de la réglementation et à la prise en compte de risques extrêmes (catastrophe naturelle ou non, crise sanitaire, etc.) et en cohérence avec la politique globale de continuité des opérations.

Les aspects de confidentialité des données relatives aux clients et d intégrité des transactions rentrent dans les mêmes dispositifs de recherche d une qualité accrue pour faire face aux menaces évoquées en préambule mais également pour apporter à nos clients un service en adéquation avec leurs attentes.

BNP Paribas continue sa démarche de limitation du risque et d optimisation des moyens en poursuivant :

■ la sensibilisation de l ensemble du personnel aux enjeux de la sécurité de l information et la formation des acteurs clés aux procédures et attitudes de maîtrise du risque lié aux moyens informatiques ;

■ l encadrement accru des activités externalisées (introduction de clauses de sécurité dans les contrats, mise en place de plans de sécurisation) ;

■ une sécurisation accrue des terminaux (ordinateurs fi xes, portables, smartphones et tablettes) ;

■ le déploiement et le développement des contrôles des entités BNP Paribas et des partenaires externes, et le renforcement des actions d accompagnement ;

■ la simplifi cation de la sécurisation des réseaux de BNP Paribas afi n de réduire les risques opérationnels, de lutter face à la propagation de malwares au niveau réseaux ;

■ le renforcement de la sécurisation des développements informatiques, de la mesure des efforts de réactivité en termes de sécurité des productions informatiques et de lutte contre la fuite de données ;

■ la surveillance des incidents et une veille technologique sur les vulnérabilités et les attaques informatiques.

BNP Paribas a inscrit la démarche de sécurité dans une approche d amélioration continue. En effet, au-delà des moyens significatifs déployés pour protéger ses actifs informatiques et son patrimoine informationnel, le niveau de sécurité mis en œuvre doit être surveillé en continu et contrôlé de manière permanente. Cela permet d ajuster les efforts de sécurité en fonction des nouvelles menaces créées par la cybercriminalité. Dans ce cadre, la revue du modèle de sécurité permet de prendre en compte les évolutions technologiques qui modifi ent fortement les interactions entre les utilisateurs (clients et collaborateurs) et leurs systèmes d information. Ce sujet implique des actions réalisées au niveau du Groupe en vue de faire évoluer les outils permettant l industrialisation des processus sécurité, de mettre en œuvre une communauté sécurité et de poursuivre les grands chantiers inscrits dans le plan d évolution de la sécurité des systèmes d Information du Groupe.