Document de référence et rapport fi nancier annuel 2015 - BNP PARIBAS 363
5RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3
5
Risques opérationnel, de non-conformité et de réputation
Un Comité de coordination fiscale, auquel participent Finance et Conformité Groupe et, en cas de besoin, les métiers, a vocation à analyser les principales problématiques fi scales des opérations réalisées par le Groupe.
SÉCURITÉ DE L INFORMATION L information constitue une des matières premières principales des activités d une banque. La dématérialisation quasi achevée, le besoin de rapidité des opérations et leur automatisation toujours plus poussée, l interconnexion entre la Banque et ses clients via internet pour les particuliers et par de multiples réseaux pour les entreprises et institutionnels renforcent continûment le besoin de maîtrise du risque relatif à la sécurité de l information. Le modèle du Groupe BNP Paribas repose sur une approche sécurité centrée sur les données les plus sensibles à protéger et sur les processus considérés comme vitaux.
L évolution des incidents vécus par la profession bancaire et l industrie des cartes de crédit/paiement, leur monétisation ainsi que leur divulgation auprès du public dans différents pays, imposent au Groupe le renforcement constant de ses actions d anticipation, de prévention, de protection, de détection et de réaction afi n de faire face aux principales menaces majeures et de suivre la réglementation et la jurisprudence en matière de données personnelles et bancaires. Bien que l approche sécurité historiquement mise en œuvre ait démontré son effi cacité, le Groupe BNP Paribas continue à mener un programme de transformation qui vise à ajuster le dispositif de sécurité pour répondre aux enjeux exposés ci-dessus.
Afi n de professionnaliser son approche du sujet, le Groupe BNP Paribas a tenu à différencier les procédures défi nissant la sécurité de l information (le contenu) de celles précisant la sécurité des systèmes d information (le contenant) : elles sont déclinées en un ensemble de documents de référence adaptés aux divers besoins des acteurs concernés au sein du Groupe. On y retrouve la politique générale de sécurité, différentes politiques plus spécifi ques à certaines thématiques technologiques ou fonctionnelles, la formulation d exigences structurées selon les axes de la norme ISO 27001, des guides pratiques qui accompagnent les exigences de sécurité, des procédures opérationnelles et l ensemble des documents de sensibilisation des collaborateurs et utilisateurs des systèmes d information du Groupe. L ensemble des exigences a été revu avec une volonté de cohérence, d ajustement à l évolution des risques de sécurité.
Ce cadre de référence est décliné par métier, prenant en compte les contraintes réglementaires, l exposition au risque de sécurité du métier et les menaces spécifi ques auxquelles il fait face. Pour ce faire, chaque métier utilise une démarche de gestion des risques sécurité harmonisée au sein du Groupe (la méthodologie retenue est basée sur l ISO 27005 complétée de la méthodologie française EBIOS d analyse de risques), des indicateurs d évaluation des risques et le suivi du plan d action. Cette démarche est complétée de plans de contrôles de sécurité qui couvrent l ensemble des actifs clés du Groupe d un point de vue effi cacité (déploiement et qualité) et mesure le niveau de maturité des organisations. Elle s inscrit dans le contrôle permanent et le contrôle périodique présent au sein de chaque activité bancaire, en particulier s agissant de l arrêté du 3 novembre 2014 en France ou d autres réglementations similaires ailleurs.
Chaque métier du Groupe BNP Paribas possède des facteurs de risques liés à la sécurité de l information qui lui sont spécifi ques tandis que d autres sont communs à tous. La politique de maîtrise du risque sécurité
prend en compte les dimensions propres aux métiers, souvent rendues plus complexes par les spécifi cités nationales culturelles et légales des pays dans lesquels ces métiers exercent leurs activités. Le cadre de gestion des risques de sécurité a été revu en 2014 afi n d améliorer le processus d analyse des risques de sécurité sur des processus métiers majeurs.
La disponibilité des systèmes d information est un élément constitutif clé de la continuité des opérations bancaires en cas de sinistre ou de crise. Même s il est impossible de garantir une disponibilité à 100 %, le Groupe BNP Paribas maintient, améliore, et vérifi e régulièrement les dispositifs de secours et de fiabilité (robustesse) de ses outils informatiques conformément à ses valeurs d excellence opérationnelle, au renforcement de la réglementation et à la prise en compte de risques extrêmes (catastrophe naturelle ou non, crise sanitaire, etc.) et en cohérence avec la politique globale sécurité.
Les aspects de confidentialité des données relatives aux clients et d intégrité des transactions rentrent dans les mêmes dispositifs de recherche d une qualité accrue pour faire face aux menaces évoquées en préambule mais également pour apporter à nos clients un service en adéquation avec leurs attentes.
BNP Paribas continue sa démarche de limitation du risque et d optimisation des moyens en poursuivant :
■ la sensibilisation de l ensemble du personnel aux enjeux de la sécurité de l information et la formation des acteurs clés aux procédures et attitudes de maîtrise du risque lié aux moyens informatiques ;
■ l encadrement accru des activités externalisées (introduction de clauses de sécurité dans les contrats, mise en place de plans de sécurisation) ;
■ une sécurisation accrue des terminaux (ordinateurs fi xes, portables, smartphones et tablettes) ;
■ le déploiement et le développement des contrôles des entités BNP Paribas et des partenaires externes, et le renforcement des actions d accompagnement ;
■ la simplifi cation de la sécurisation des réseaux de BNP Paribas afi n de réduire les risques opérationnels, de lutter face à la propagation de malwares au niveau réseaux ;
■ le renforcement de la sécurisation des développements informatiques, de la mesure des efforts de réactivité en termes de sécurité des productions informatiques et de lutte contre la fuite de données ;
■ la surveillance des incidents et une veille technologique sur les vulnérabilités et les attaques informatiques.
BNP Paribas a inscrit la démarche de sécurité dans une approche d amélioration continue. En effet, au-delà des moyens significatifs déployés pour protéger ses actifs et son patrimoine informationnel, le niveau de sécurité mis en œuvre doit être surveillé en continu et contrôlé de manière permanente. Cela permet d ajuster les efforts de sécurité en fonction des nouvelles menaces créées par la cybercriminalité. Dans ce cadre, la revue du modèle de sécurité permet de prendre en compte les évolutions technologiques qui modifi ent fortement les interactions entre les utilisateurs (clients et collaborateurs) et leurs systèmes d information. Ce sujet implique des actions réalisées au niveau du Groupe en vue de faire évoluer les outils permettant l industrialisation des processus sécurité, de mettre en œuvre une communauté sécurité et de poursuivre les grands chantiers inscrits dans le plan d évolution de la sécurité des systèmes d Information du Groupe.