BNP - Document enregistrement universel et rapport financier annuel 2021

Document d enregistrement universel et rapport financier annuel 2021 - BNP PARIBAS502

5 risques et adéquation des fonds ProPres Pilier 3

Risque opérationnel

La gestion de la technologie et de la sécurité des systèmes d information fait partie de la stratégie du Groupe en matière de cybersécurité. Cette stratégie se concentre sur la préservation des données les plus sensibles en adaptant régulièrement d une part, ses processus et procédures internes et d autre part, la formation et la sensibilisation de ses collaborateurs, afin de faire face à des menaces de plus en plus sophistiquées et variées.

Afin de renforcer ses technologies et la protection de ses données, le Groupe a adopté une approche globale dans la gestion de la cybersécurité au travers de ses 3 lignes de défense :

■ les entités opérationnelles constituent une première ligne de défense. Depuis 2015, le Groupe a décliné dans l ensemble des entités un programme de transformation basé sur le référentiel international NIST (National Institute of Standards and Technology). Ce programme est régulièrement mis à jour en prenant en compte les nouvelles menaces et incidents récents identifiés à l échelle mondiale ;

■ en seconde ligne de défense, l équipe dédiée à la gestion de la cybersécurité et du risque technologique au sein de RISK ORM et sous la responsabilité du Group Chief Operational Risk Officer a pour mission en lien avec les Operational Risk Officers de :

■ présenter la situation du Groupe en matière de cybersécurité et de risque technologique au Comité Exécutif du Groupe, au Conseil d administration et aux autorités de surveillance,

■ suivre le programme de transformation à travers l ensemble du Groupe,

■ intégrer les dimensions cybersécurité et risque technologique dans l ensemble des grands projets au sein du Groupe,

■ assurer que les politiques, les procédures et les principaux projets prennent en compte les aspects de cybersécurité et de risque technologique,

■ suivre les risques existants et identifier les nouvelles menaces susceptibles d avoir un impact négatif sur l activité du Groupe,

■ superviser les risques liés aux systèmes d information tiers dans un cadre renforcé,

■ réaliser des campagnes d évaluation indépendante du risque sur les objectifs prioritaires,

■ mener des actions afin d évaluer et de renforcer la capacité du Groupe à répondre aux failles et aux incidents ;

■ en troisième ligne de défense, l Inspection Générale a pour mission :

■ d évaluer les processus mis en place dans la gestion des risques ICT (liés aux technologies de l information et de la communication), ainsi que les contrôles et la gouvernance associés,

■ de vérifier le bon respect des lois et des règlements,

■ de proposer des axes d amélioration afin de renforcer les dispositifs mis en place.

Le Groupe répond aux nouveaux risques technologiques et de cybersécurité de la manière suivante :

■ risques ICT liés à la disponibilité et à la continuité :

BNP Paribas s appuie largement sur les systèmes de communication et d information dans l ensemble de ses activités. Toute faille dans la sécurité de ces systèmes pourrait entraîner des défaillances ou

des interruptions dans les systèmes utilisés pour la gestion des relations clients ou pour l enregistrement des opérations (dépôts, services, prêts) et pourrait ainsi entraîner des coûts importants pour récupérer et vérifier les données compromises. Le Groupe gère et révise régulièrement ses plans de gestion des crises et de continuité d activité (taux d existence de plan de continuité d activité validé au 31 décembre 2021 : 89,08 %) au travers de test de ses services de restauration de données et de la robustesse de ses systèmes d information selon différents scénarios de stress planifiés ;

■ risques ICT liés à la sécurité :

Le Groupe est vulnérable au risque de cybersécurité, ou au risque causé par un acte malveillant et/ou frauduleux, commis avec l intention de manipuler des informations (données confidentielles, banque/assurance, techniques ou stratégiques), des processus et des utilisateurs, pouvant entraîner des pertes significatives pour les filiales, les collaborateurs, les partenaires et les clients du Groupe. Le Groupe réévalue continuellement les menaces à mesure qu elles évoluent et atténue les risques détectés en temps opportun grâce à des contre- mesures efficaces ;

■ risques ICT liés au changement :

Les systèmes d information du Groupe évoluent rapidement dans un contexte de transformation digitale. Les risques identifiés pendant les phases de conception ou de modifications des systèmes, sont évalués régulièrement afin de s assurer que les solutions proposées sont cohérentes par rapport aux besoins des métiers du Groupe ;

■ risques ICT liés à l intégrité des données :

Les aspects de confidentialité des données clients et d intégrité des transactions rentrent dans les mêmes dispositifs prévus pour répondre au Règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD Règlement général sur la protection des données) et visent à apporter aux clients du Groupe un service en adéquation avec leurs attentes ;

■ risques ICT liés aux systèmes d information tiers :

La Banque est exposée à des risques de défaillances financières, de ruptures ou de contraintes de capacités opérationnelles lorsqu elle interagit avec des tierces parties y compris ses clients, les intermédiaires financiers, et les autres acteurs de marché. Les trois lignes de défense du Groupe constituent le cadre de gestion de ces risques à toutes les étapes d intégration jusqu à la fin de la relation avec ces tierces parties.

Le Groupe déploie d importantes ressources pour identifier, mesurer et maîtriser ses risques et met en œuvre diverses techniques pour gérer son profil de risque. La crise sanitaire, qui s est poursuivie en 2021, a accru la dépendance du Groupe à l égard des technologies numériques. Afin d avoir la capacité de travailler à distance et de permettre au Groupe de continuer à opérer de manière sécurisée malgré le risque élevé de cybercriminalité, le Groupe a investi dans des mises à niveau informatiques pour augmenter la bande passante du réseau et assurer la stabilité des infrastructures d accès à distance. En parallèle, les équipes en charge de la cybersécurité ont renforcé leurs capacités de surveillance pour améliorer la détection et répondre plus rapidement aux menaces. Les processus et les outils en place ont été complétés par des revues spécifiques et des actions de support aux métiers du Groupe, ainsi que par des actions de communication aux employés.