Document de référence et rapport fi nancier annuel 2016 - BNP PARIBAS 375

5RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3

5

Risques opérationnel, de non-conformité et de réputation

des correspondants fi scaux dans les autres Territoires où le Groupe est implanté).

Afi n d assurer la cohérence des pratiques fi scales du Groupe et le suivi du risque fi scal global, les AFG :

■ ont défi ni des procédures couvrant l ensemble des pôles et destinées à assurer l identifi cation, la maîtrise et le contrôle du risque fi scal ;

■ ont mis en place un processus de remontée d informations de nature à contribuer au contrôle du risque fi scal local ;

■ assurent un reporting à la Direction Générale sur l évolution des risques fi scaux ;

■ supervisent les risques opérationnels à caractère fiscal et les recommandations de l audit interne sur le périmètre de responsabilité de la fonction fi scale.

Un Comité de coordination fi scale, auquel participent Finance et la Conformité et, en cas de besoin, les métiers, a vocation à analyser les principales problématiques fi scales des opérations réalisées par le Groupe.

CYBERSÉCURITÉ L information constitue une des matières premières principales des activités d une banque. Le déploiement du Digital Banking (pour nos clients et nos partenaires) et le Digital Working (pour nos collaborateurs), le besoin de rapidité des opérations et leur automatisation toujours plus poussée, l interconnexion entre la Banque et ses clients via internet pour les particuliers et par de multiples réseaux pour les entreprises et institutionnels renforcent le besoin de maîtrise du risque relatif à la sécurité des systèmes d information. Le modèle du Groupe BNP Paribas repose sur une approche sécurité centrée sur les données les plus sensibles à protéger et sur les processus considérés comme vitaux.

L évolution constante des menaces exposant la profession bancaire et l industrie des cartes de crédit/paiement, leur monétisation ainsi que leur divulgation auprès du public dans différents pays, imposent au Groupe le renforcement régulier de ses actions.

En 2015, BNP Paribas a décidé de renforcer et d homogénéiser son approche de la gestion des risques des systèmes d information en mettant en place une organisation spécifi que et dédiée au sein de la fi lière. La Sécurité de l Information et de ses Systèmes d Information est inscrite dans l approche Cybersécurité du Groupe, composante majeure de la gestion des risques des systèmes d information et un programme de transformation selon le référentiel international NIST (National Institute of Standards and Technology) a été lancé.

Celui-ci vise à ajuster le dispositif de sécurité pour répondre aux enjeux exposés ci-dessus et permet de répondre à un accroissement signifi catif de lois, règlements, normes et standards auxquels le Groupe doit se conformer.

Plusieurs autorités ont sollicité des entités de BNP Paribas au cours de l année 2015 sur la thématique Cybersécurité afi n de connaître leur niveau de maturité et une inspection a été réalisée en 2015- 2016 par la Banque Centrale Européenne (BCE). Les résultats obtenus confortent l approche retenue par BNP Paribas concernant le renforcement de sa gestion des risques des systèmes d information.

Continuité de l activité

La disponibilité des systèmes d information est également un élément clé de la continuité des opérations bancaires en cas de sinistre ou de crise. Le Groupe BNP Paribas maintient, améliore, et vérifi e régulièrement les dispositifs de secours et de fiabilité (robustesse) de ses outils informatiques conformément à ses valeurs d excellence opérationnelle, au renforcement de la réglementation et à la prise en compte de risques extrêmes (catastrophe naturelle ou non, crise sanitaire, etc.).

Confi dentialité des données

Les aspects de confidentialité des données relatives aux clients et d intégrité des transactions rentrent dans les mêmes dispositifs de recherche d une qualité accrue pour faire face aux menaces évoquées en préambule mais également pour apporter à nos clients un service en adéquation avec leurs attentes.

Cybercriminalité

BNP Paribas continue sa démarche de gestion des risques des systèmes d information identifi és et d optimisation des moyens en poursuivant :

■ la sensibilisation de l ensemble du personnel aux enjeux de la sécurité des systèmes d information et la formation des acteurs clés aux procédures et attitudes de maîtrise du risque lié aux moyens informatiques ;

■ l encadrement accru des activités externalisées (introduction de clauses de sécurité dans les contrats, mise en place de plans de sécurisation) ;

■ une sécurisation accrue des terminaux (ordinateurs fi xes, portables, smartphones et tablettes) ;

■ le déploiement et le développement des contrôles des entités BNP Paribas et des partenaires externes, et le renforcement des actions d accompagnement ;

■ la simplifi cation de la sécurisation des réseaux de BNP Paribas afi n de réduire les risques opérationnels, de lutter face à la propagation de malwares au niveau réseaux ;

■ le renforcement de la sécurisation des développements informatiques, de la mesure des efforts de réactivité en termes de sécurité des productions informatiques et de lutte contre la fuite de données ;

■ la surveillance des incidents et une veille technologique sur les vulnérabilités et les attaques informatiques.

BNP Paribas a inscrit la démarche de sécurité dans une approche d amélioration continue. En effet, au-delà des moyens significatifs déployés pour protéger ses actifs et son patrimoine informationnel, le niveau de sécurité mis en œuvre doit être surveillé en continu et de manière holistique. Cela permet d ajuster les efforts de sécurité en fonction des nouvelles menaces créées par la cybercriminalité.

Dans ce cadre, la revue du modèle de sécurité permet de prendre en compte les évolutions technologiques qui modifi ent fortement les interactions entre les utilisateurs (clients et collaborateurs) et leurs systèmes d information. Ce sujet implique des actions réalisées au niveau du Groupe et au niveau des entités en vue de faire évoluer les outils permettant l industrialisation des processus sécurité, de mettre en œuvre une communauté Cybersécurité et de Risques des systèmes d information et de poursuivre les grands chantiers inscrits dans le plan d évolution des activités du Groupe.