Document de référence et rapport fi nancier annuel 2018 - BNP PARIBAS 433
5RISQUES ET ADÉQUATION DES FONDS PROPRES PILIER 3
5
Risque opérationnel
CYBERSECURITÉ ET TECHNOLOGIE L utilisation et la protection des données et des technologies sont déterminantes pour l activité de la Banque et son processus de transformation.
Tandis que la Banque poursuit le déploiement du Digital Banking (pour les clients et les partenaires du Groupe) et du Digital Working (pour les collaborateurs du Groupe), elle doit intégrer de nouvelles technologies, des pratiques de gestion des risques innovantes et mettre en place de nouvelles méthodes de travail. Cela introduit de nouveaux risques technologiques dans le domaine de la cybersécurité.
La gestion de la technologie et de la sécurité des systèmes d information fait partie de la stratégie du Groupe en matière de cybersécurité. Cette stratégie se concentre sur la préservation des données les plus sensibles en adaptant régulièrement d une part, ses processus et procédures internes et d autre part, la formation et la sensibilisation de ses collaborateurs, afi n de faire face à des menaces de plus en plus sophistiquées et variées.
Afi n de protéger au mieux ses technologies et ses données, le groupe a adopté une approche globale dans la gestion de la cybersécurité :
■ l es entités opérationnelles constituent une première ligne de défense. Depuis 2015, le Groupe a décliné dans l ensemble des entités un programme de transformation basé sur le référentiel international NIST (National Institute of Standards and Technology). Ce programme est régulièrement mis à jour en prenant en compte les nouvelles menaces et incidents récents identifi és à l échelle mondiale ;
■ e n seconde ligne de défense, l équipe dédiée à la gestion de la cybersécurité et du risque technologique (RISK ORC ICT) sous la responsabilité du Chief Cyber and Technology Risk Offi cer a pour mission de :
■ présenter la situation du Groupe en matière de cybersécurité et de risque technologique au Comité Exécutif du Groupe, au Conseil d administration et aux autorités de surveillance,
■ suivre le programme de transformation à travers l ensemble du Groupe,
■ intégrer les dimensions cybersécurité et risque technologique dans l ensemble des grands projets au sein du Groupe,
■ assurer que les politiques, les procédures et les principaux projets prennent en compte les aspects de cybersécurité et de risque technologique,
■ suivre les risques existants et identifi er les nouvelles menaces susceptibles d avoir un impact négatif sur l activité du Groupe,
■ superviser les risques liés aux systèmes d information tiers dans un cadre renforcé,
■ réaliser des campagnes d évaluation indépendante sur les objectifs prioritaires,
■ mener des actions afi n d évaluer et de renforcer la capacité du Groupe à répondre aux failles et aux incidents.
La cartographie de risques applicable a également été revue afi n de répondre aux nouveaux risques technologiques et de cybersécurité. Ces risques comprennent :
■ r isques liés à la disponibilité et à la continuité :
La disponibilité des données et des systèmes d information est un élément clé pour la continuité des activités de la banque en cas de situation de crise ou d urgence. Le Groupe gère, améliore et vérifi e régulièrement le plan de gestion des crises et de rétablissement en testant ses capacités de sauvegarde de données et la robustesse de ses systèmes d information, à l aide de scénarios de stress ;
■ r isques liés à la sécurité :
Les risques liés à la sécurité des systèmes d information sont en constante augmentation. Ils proviennent à la fois de l environnement externe à la Banque (hackers, systèmes gérés sur un réseau externe à la Banque ou chez un tiers, etc.) et de son environnement interne (acte malveillant, absence de sensibilisation, etc.). Le Groupe évalue les menaces et corrige les risques détectés ;
■ r isques liés au changement :
Les systèmes d information du Groupe évoluent rapidement en raison du processus de transformation entraînant de nouveaux risques liés à ces changements. Ces risques, identifi és pendant les phases de conception ou de modifi cations des systèmes, sont évalués régulièrement afi n de s assurer que les solutions proposées sont cohérentes par rapport aux besoins des métiers du Groupe ;
■ r isques liés à l intégrité des données :
Les aspects de confi dentialité des données relatives aux clients et d intégrité des transactions rentrent dans les mêmes dispositifs de recherche d une qualité accrue pour faire face aux menaces évoquées précédemment mais également pour apporter aux clients du Groupe un service en adéquation avec leurs attentes. Le Groupe a également lancé des projets internes pour se conformer au Règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD Règlement général sur la protection des données) en 2018 ;
■ r isques liés aux systèmes d information tiers :
Avec l externalisation de certaines activités, la Banque peut interagir avec d autres systèmes d information que les siens. Cependant, elle demeure responsable vis-à-vis de ses clients et des régulateurs pour les risques technologiques et de cybersécurité inhérents à ces systèmes tiers. Les deux lignes de défense du Groupe gèrent ces risques à toutes les étapes d intégration des systèmes d information tiers jusqu à la fi n de la relation.
L e Groupe répond donc à la fois aux risques technologiques et de cybersécurité ainsi qu aux exigences des lois, réglementations et normes en vigueur.