Document d enregistrement universel et rapport financier annuel 2019 - BNP PARIBAS 435

5risques et adéquation des fonds ProPres Pilier 3

5

Risque opérationnel

La gestion de la technologie et de la sécurité des systèmes d information fait partie de la stratégie du Groupe en matière de cybersécurité. Cette stratégie se concentre sur la préservation des données les plus sensibles en adaptant régulièrement d une part, ses processus et procédures internes et d autre part, la formation et la sensibilisation de ses collaborateurs, afin de faire face à des menaces de plus en plus sophistiquées et variées.

Afin de protéger au mieux ses technologies et ses données, le Groupe a adopté une approche globale dans la gestion de la cybersécurité au travers de ses 3 lignes de défense :

■ les entités opérationnelles constituent une première ligne de défense. Depuis 2015, le Groupe a décliné dans l ensemble des entités un programme de transformation basé sur le référentiel international NIST (National Institute of Standards and Technology). Ce programme est régulièrement mis à jour en prenant en compte les nouvelles menaces et incidents récents identifiés à l échelle mondiale ;

■ en seconde ligne de défense, l équipe dédiée à la gestion de la cybersécurité et du risque technologique (RISK ORC ICT) sous la responsabilité du Chief Cyber and Technology Risk Officer a pour mission de :

■ présenter la situation du Groupe en matière de cybersécurité et de risque technologique au Comité Exécutif du Groupe, au Conseil d administration et aux autorités de surveillance,

■ suivre le programme de transformation à travers l ensemble du Groupe,

■ intégrer les dimensions cybersécurité et risque technologique dans l ensemble des grands projets au sein du Groupe,

■ assurer que les politiques, les procédures et les principaux projets prennent en compte les aspects de cybersécurité et de risque technologique,

■ suivre les risques existants et identifier les nouvelles menaces susceptibles d avoir un impact négatif sur l activité du Groupe,

■ superviser les risques liés aux systèmes d information tiers dans un cadre renforcé,

■ réaliser des campagnes d évaluation indépendante sur les objectifs prioritaires,

■ mener des actions afin d évaluer et de renforcer la capacité du Groupe à répondre aux failles et aux incidents ;

■ En troisième ligne de défense, l Inspection Générale a pour mission de :

■ évaluer les processus mis en place dans la gestion des risques ICT, ainsi que les contrôles et la gouvernance associés,

■ vérifier le bon respect des lois et des règlements,

■ proposer des axes d amélioration afin de renforcer les dispositifs mis en place.

Le Groupe répond aux nouveaux risques technologiques et de cybersécurité de la manière suivante :

■ risques ICT liés à la disponibilité et à la continuité :

BNP Paribas s appuie largement sur les systèmes de communication et d information dans l ensemble de ses activités. Toute faille dans la sécurité de ces systèmes pourrait entraîner des défaillances ou des interruptions dans les systèmes utilisés pour la gestion des relations clients ou pour l enregistrement des opérations (dépôts, services, prêts) et pourrait ainsi entraîner des coûts importants pour récupérer et vérifier les données compromises. Le Groupe gère, améliore et vérifie régulièrement ses plans de gestion des crises et de continuité d activité au travers de test de ses services de restauration de données et de la robustesse de ses systèmes d information selon différents scénarios de stress planifiés ;

■ risques ICT liés à la sécurité :

Le Groupe est vulnérable au risque de cybersécurité, ou au risque causé par un acte malveillant et/ou frauduleux, commis virtuellement, avec l intention de manipuler des informations (données confidentielles, banque/assurance, techniques ou stratégiques), des processus et des utilisateurs, pouvant entraîner des pertes significatives pour les filiales, les collaborateurs, les partenaires et les clients du Groupe. Le Groupe réévalue continuellement l ensemble des menaces (croissante dans le temps et dans leur sophistication) et corrige en temps opportun les risques détectés grâce à des contre-mesures efficaces ;

■ risques ICT liés au changement :

Les systèmes d information du Groupe évoluent rapidement dans un contexte de transformation digitale. Les risques identifiés pendant les phases de conception ou de modifications des systèmes, sont évalués régulièrement afin de s assurer que les solutions proposées sont cohérentes par rapport aux besoins des métiers du Groupe ;

■ risques ICT liés à l intégrité des données :

Les aspects de confidentialité des données clients et d intégrité des transactions rentrent dans les mêmes dispositifs prévus pour répondre au Règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD Règlement général sur la protection des données) et visent à apporter aux clients du Groupe un service en adéquation avec leurs attentes ;

■ risques ICT liés aux systèmes d information tiers :

La Banque est exposée à des risques de défaillances, de ruptures ou de contraintes de capacités opérationnelles lorsqu elle interagit avec des tierces parties y compris ses clients, les intermédiaires financiers, et les autres acteurs de marché. Les trois lignes de défense du Groupe gèrent ces risques à toutes les étapes d intégration des systèmes d information tiers jusqu à la fin de la relation.

Le Groupe répond donc à la fois aux risques technologique et de cybersécurité ainsi qu aux exigences des lois, règlementations et normes en vigueur.