Document de référence et rapport fi nancier annuel 2017 - BNP PARIBAS 401

5RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3

5

Risque opérationnel

Afi n de protéger au mieux ses technologies et ses données, le Groupe a adopté une approche globale dans la gestion de la cybersécurité :

■ En première ligne de défense, au sein de l ensemble des entités, le Groupe a lancé un programme de transformation basé sur le référentiel international NIST (National Institute of Standards and Technology). Ce programme, initié en 2015, est régulièrement mis à jour en prenant en compte les nouvelles menaces et incidents récents repérés à l échelle mondiale ;

■ En seconde ligne de défense, le Groupe a mis en place au sein de la fonction Risque une équipe dédiée à la gestion de la cybersécurité et du risque technologique (Risk ORC ICT) sous la responsabilité du Chief Cyber and Technology Risk Offi cer ayant comme mission de :

■ présenter la situation du Groupe en matière de cybersécurité et de risque technologique au Comité Exécutif du Groupe, au Conseil d a dministration et aux autorités de surveillance,

■ suivre le programme de transformation à travers l ensemble du Groupe,

■ intégrer les dimensions cybersécurité et risque technologique dans l ensemble des grands projets au sein du Groupe,

■ effectuer des campagnes d évaluation indépendantes notamment au sein des partenaires externes au Groupe,

■ suivre les risques existants et identifi er les nouvelles menaces susceptibles d avoir un impact négatif sur l activité du Groupe (corruption de données, destabilisation des infrastructures des marchés fi nanciers, etc.).

Le modèle de risque applicable a également été revu afi n de répondre aux nouveaux risques technologiques et de cybersécurité. Ces derniers comprennent :

■ Risques liés à la disponibilité et à la continuité

La disponibilité des données et des systèmes d information est un élément clé pour la continuité des activités de la banque en cas de situation de crise ou d urgence. Le Groupe gère, améliore et vérifi e régulièrement le plan de gestion des crises et de rétablissement en

testant ses capacités de sauvegarde de données et la robustesse de ses systèmes d information, à l aide de scénarios de stress ;

■ Risques liés à la sécurité

Les risques liés à la sécurité des systèmes d information sont en constante augmentation. Ils proviennent à la fois de l environnement externe à la banque (hackers, systèmes gérés sur un réseau externe à la Banque ou chez un tiers, etc.) et de son environnement interne (acte malveillant, absence de sensibilisation , etc.). Le Groupe évalue les menaces, et corrige les risques détectés ;

■ Risques liés au changement

Les systèmes d information du Groupe évoluent rapidement en raison du processus de transformation entraînant de nouveaux risques liés à ces changements. Ces risques, identifi és pendant les phases de conception ou de modifi cations des systèmes, sont évalués régulièrement afi n de s assurer que les solutions proposées sont cohérentes par rapport aux besoins des métiers du Groupe ;

■ Risques liés à l intégrité des données

Les aspects de confi dentialité des données relatives aux clients et d intégrité des transactions rentrent dans les mêmes dispositifs de recherche d une qualité accrue pour faire face aux menaces évoquées précédement mais également pour apporter aux clients du Groupe un service en adéquation avec leurs attentes. Le Groupe a également lancé des projets internes pour se conformer au Règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD - Règlement général sur la protection des données) en 2018 ;

■ Risques liés aux systèmes d information tiers

Avec l externalisation de certaines activités, la Banque peut interagir avec d autres systèmes d information que les siens. Cependant, elle demeure responsable vis-à-vis de ses clients et des régulateurs pour les risques technologiques et de cybersécurité inhérents à ces systèmes tiers. Les deux lignes de défense du Groupe gèrent ces risques à toutes les étapes d intégration des systèmes d information tiers jusqu à la fi n de la relation.

Le Groupe répond ainsi aux exigences des lois, réglementations et normes en vigueur.