10.1 ORGANISATION DE LA GESTION DU RISQUE OPÉRATIONNEL
Le dispositif de gestion du risque opérationnel du Groupe, autre que les risques détaillés dans le chapitre 13 « Risque de non-conformité, litiges », s’organise autour de deux niveaux d’intervenants :
une première ligne de défense au sein de chaque Business Units/Service Units, responsable de faire appliquer le dispositif et de mettre en place les contrôles qui permettent de s’assurer que les risques sont identifiés, analysés, mesurés, suivis, pilotés, reportés et contenus dans les limites de l’appétit pour le risque défini par le Groupe ;
une deuxième ligne de défense : le Département des risques opérationnels, rattaché à la Direction des risques du Groupe.
procède à un examen critique de la gestion du risque opérationnel (incluant le risque de fraude, les risques liés aux systèmes d’information et à la sécurité de l’information et les risques relatifs à la continuité d’activité) des Business Units/Service Units ;
fixe les normes et procédures relatives aux dispositifs de maîtrise du risque opérationnel et la production d’analyses transversales ;
produit les métriques de risques et de pilotage des dispositifs de maîtrise du risque opérationnel.
Pour couvrir l’ensemble du Groupe, le Département des risques opérationnels échange avec les relais en région qui remontent aux départements les éléments nécessaires à la consolidation d’une vision holistique et prospective du profil de risque de la Banque tant pour les besoins de pilotage interne que pour répondre aux exigences réglementaires.
Les relais en région ont la responsabilité de déployer les missions du département en tenant compte des exigences propres aux instances de régulation en exercice sur leur région.
Le Département des risques opérationnels échange avec la première ligne de défense via un réseau de correspondants risques opérationnels au sein de chaque Business Units/Service Units.
Concernant spécifiquement les risques liés à la continuité d’activité, à la gestion de crise et à la sécurité de l’information, des biens et des personnes, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction de la sécurité Groupe. Et concernant spécifiquement les risques liés aux systèmes d’information, le Département des risques opérationnels exerce l’examen critique de la gestion de ces risques en relation avec la Direction ressources et transformation numérique.
Le contrôle de niveau 2 consiste en la vérification de la définition et de la réalisation effective des contrôles de niveau 1, et en particulier l’examen des résultats des contrôles de niveau 1 sous les aspects quantitatif et qualitatif, notamment en matière de taux de réalisation, niveaux d’anomalie, etc. Cette revue permet en outre de s’assurer de l’efficacité et de la pertinence du déploiement des contrôles par besoin de contrôle et type de risque et des plans d’actions correctrices.
Selon le dispositif de contrôle interne, les équipes de contrôle permanent de niveau 2 de la Direction des risques exercent cette mission sur les risques opérationnels recouvrant les risques propres aux différents métiers (incluant les risques opérationnels liés aux risques de crédit et aux risques de marchés), ainsi que les risques liés aux achats, à la communication, à l’immobilier, aux ressources humaines et aux systèmes d’information.
La protection des personnes et des biens, et le respect des lois et réglementations en vigueur en matière de sécurité, représentent un enjeu majeur pour le groupe Société Générale. À cette fin, la Direction de la Sécurité du Groupe, dans le cadre de sa mission, décline des dispositifs humains, organisationnels et techniques qui permettent de garantir le bon fonctionnement opérationnel du Groupe en France et à l’international, de réduire l’exposition aux menaces (en matière de sécurité et sûreté) et de diminuer les impacts en cas de crise.
la Sécurité est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux accidents techniques, physiques, chimiques et environnementaux pouvant nuire aux personnes et aux biens ;
la Sûreté est l’ensemble des moyens humains, organisationnels et techniques réunis pour faire face aux actes spontanés ou réfléchis ayant pour but de nuire, ou de porter atteinte dans un but de profit psychique ou/et financier.
la rédaction des programmes de sécurité et la réception des travaux de ces équipements de sécurité ;
le pilotage des événements affectant la sécurité physique des collaborateurs, des immeubles ou datacenters ;
le bon respect de la protection du secret de la défense nationale pour ce qui concerne le Groupe ;
La gestion de l’ensemble de ces risques s’appuie sur les dispositifs de maîtrise du risque opérationnel et la seconde ligne de défense est assurée par la Direction des risques.
Étant donné l’importance pour le Groupe de son système d’information et des données qu’il véhicule, et l’augmentation continue de la menace cyber criminelle, les risques liés aux technologies de l’information et de la communication et à la sécurité (TIC) sont majeurs pour Société Générale. Leur encadrement, intégré dans le dispositif général de gestion des risques opérationnels, est piloté en première ligne de défense par une filière d’expertise dédiée (Sécurité de l’Information et des Systèmes d’Information – SSI) et la seconde ligne de défense est assurée par la Direction des risques. Ils font l’objet d’un suivi spécifique par les organes de direction au travers de sessions dédiées dans la gouvernance Groupe (Comité des risques, CORISQ, CCCIG, DTCO) et d’un tableau de bord trimestriel qui présente la situation des risques et les plans d’actions sur les huit principaux thèmes des risques liés aux technologies de l’information et de la communication.
La Direction de la sécurité Groupe, logée au sein du Secrétariat général est responsable de la protection de l’information. Les informations confiées par les clients, les collaborateurs ainsi que le savoir et savoir-faire collectif de la banque constituent les ressources informationnelles les plus précieuses du Groupe. À cette fin, il convient de mettre en place les dispositifs humains, organisationnels et techniques qui permettent de protéger l’information et de s’assurer qu’elle est manipulée, diffusée, partagée par les seules personnes ayant besoin d’en connaître et habilitées à cet effet. La Direction de la sécurité Groupe assure notamment :
la publication et le maintien de la politique Groupe de sécurité de l’information qui englobe à la fois les aspects humains et techniques ;
la publication et le maintien, avec les équipes de juristes et des fonctions ressources humaines du Groupe, de la Charte de protection de l’information et des ressources informatiques ;
la co-construction avec la Service Unit ressources et transformation numérique du programme Data-Protection qui vise à doter les collaborateurs d’un outil de classification et de protection des documents de bureautique ; la promotion des bonnes pratiques de classification de l’information et d’utilisation des outils de propriétés adaptés à la sensibilité des documents ;
la sensibilisation à la sécurité de l’information par un ensemble d’actions permanentes favorisant l’appropriation par les collaborateurs des enjeux de la sécurité de l’information : diffusion d’un e-learning sur la sécurité de l’information à l’ensemble des collaborateurs du Groupe en France et à l’international, conférences, ateliers spécifiques sur les risques liés à l’ingénierie sociale, sur l’utilisation des réseaux sociaux, etc.
Le responsable des risques liés aux technologies de l’information et de la communication (TIC) et de la sécurité des systèmes d’information est logé au niveau de la Direction ressources et transformation numérique (RESG). Sous l’autorité fonctionnelle du Directeur de la sécurité Groupe, il propose la stratégie des moyens de protection de l’information dématérialisée et anime la filière sécurité des systèmes d’information. Les dispositifs de sécurité des systèmes sont alignés avec les standards du marché (NIST, ISO 27002), et déclinés dans chaque Business/Service unit.
L’encadrement des risques liés à la cybercriminalité se fait au travers du schéma directeur triannuel Sécurité des Systèmes d’Information (SSI).
Afin de prendre en compte l’évolution de la menace, en particulier celle liée au ransomware, et en cohérence avec la stratégie Groupe, le schéma directeur SSI 2021-2023 est structuré, avec un budget de 650 millions d’euros sur la période 2021-2023, autour de deux piliers qui guident les actions à horizon 2023 :
protéger les données des clients et la capacité à opérer les services de la Banque, en intégrant les menaces, les exigences des régulateurs, et le besoin d’accompagner les Business Unit et Service Unit dans leur transformation digitale et l’évolution des usages qui l’accompagne. Une approche par les risques permet de concentrer les efforts sur les éléments et les données les plus critiques, en lien avec les travaux de la Direction de la sécurité. Le Groupe se prépare à gérer une crise cyber majeure en améliorant en particulier sa capacité de détection, sa capacité de contrôle des liens informatiques avec les partenaires et les filiales, et sa capacité de reconstruction du système d’information ;
augmenter l’efficacité opérationnelle en gagnant en cohérence globale, et en augmentant les protections et la capacité de réactions. En particulier en développant le pilotage de la filière cybersécurité, en optimisant les processus et les outils pour pouvoir déployer de nouvelles protections à coût constant. Enfin, en travaillant sur la gestion de ressources humaines de la filière, en particulier sur le développement des compétences et les réseaux d’expertise.
Sur le plan opérationnel, le Groupe s’appuie sur une cellule CERT (Computer Emergency Response Team) en charge de la gestion des incidents, de la veille sécuritaire et de la lutte contre la cybercriminalité. Cette équipe fait appel à de multiples sources d’information et de surveillance, internes comme externes. Depuis 2018, cette cellule s’est également renforcée par la mise en place d’une équipe interne Red Team, dont les principales missions ont pour objectif d’évaluer l’efficacité des dispositifs de sécurité déployés et de tester les capacités de détection et de réaction des équipes de défense (Blue Teams) lors d’exercice simulant une attaque réelle. Les services de la Red Team permettent notamment une meilleure compréhension des faiblesses de la sécurité du système d’information Société Générale, d’aider à la mise en place de stratégies globales d’amélioration, et également d’entraîner les équipes de défense cybersécurité. Le CERT travaille étroitement avec le Security Operations Center (SOC) qui est en charge de la détection des événements de sécurité et de leur traitement.
Au sein de la Direction ressources et transformation numérique, une équipe est en charge, concernant les processus informatiques, de la cohérence de la mise en œuvre des dispositifs d’encadrement du risque opérationnel et de leur consolidation. Les principales missions de l’équipe sont :
d’identifier et d’évaluer les risques informatiques majeurs pour le Groupe, incluant les scénarios de risques extrêmes (ex. : cyber-attaque, défaillance d’un prestataire), pour permettre au Groupe d’améliorer la connaissance de ses risques, d’être mieux préparé à des scénarii de risques extrêmes et de mieux aligner ses investissements avec ses risques informatiques ;
de produire les indicateurs alimentant le tableau de bord de suivi des risques informatiques, à destination des organes de direction et des Directeurs des systèmes d’information. Ceux-ci sont revus régulièrement avec la seconde ligne de défense afin de rester alignés avec la stratégie SI et SSI et leurs objectifs ;
plus généralement, de s’assurer de la qualité et de la fiabilité de l’ensemble des dispositifs adressant les risques informatiques. Une attention particulière est portée au dispositif de contrôle permanent de ses risques informatiques, qui s’appuie sur la définition de contrôles normatifs SI/SSI et l’accompagnement du Groupe dans le déploiement de la supervision managériale sur ce sujet. Dans le cadre du programme « PCT » (Programme de transformation du contrôle permanent), les contrôles normatifs ont été revus, soit une trentaine de contrôles sur les sujets SI/SSI. La filière IT suit le déploiement de ces contrôles à travers le Groupe, dont l’avancement est aligné avec les objectifs fixés par le Groupe.
En matière de sensibilisation, un module de formation multilingues en ligne sur la sécurité de l’information est obligatoire pour tout le personnel interne du Groupe et pour l’ensemble des prestataires qui utilisent ou accèdent à notre système d’information. Il a été mis à jour début 2020 afin d’intégrer les évolutions de la nouvelle Politique Groupe de Sécurité de l’Information. À fin août 2021, 98% des collaborateurs du groupe Société Générale ayant été notifiés avaient validé la formation.
L’encadrement du risque de fraude qu’il soit d’origine interne ou externe est intégré dans le dispositif général de gestion du risque opérationnel qui permet l’identification, l’évaluation, le traitement et le pilotage du risque qu’il soit potentiel ou avéré.
Il est piloté en première ligne de défense par des équipes expertes dédiées à la gestion du risque de fraude en sus des équipes en charge de la gestion du risque opérationnel spécifique sur chacun des métiers de la banque. Ces équipes sont en charge de la définition et de la mise en œuvre opérationnelle des moyens de sensibilisation, prévention détection et traitement des fraudes. La seconde ligne de défense est assurée par la Direction des Risques Opérationnels avec un responsable du risque de fraude. La seconde ligne définit et vérifie le respect des principes de gestion du risque de fraude en lien avec les équipes de première ligne, et s’assure que des gouvernances adaptées sont en place.
Enfin les équipes, qu’elles soient en première ou seconde ligne de défense, travaillent conjointement avec des équipes d’experts en charge de la sécurité de l’information, de lutte contre la cyber criminalité, de la connaissance client, de lutte contre la corruption et de blanchiment. Les équipes travaillent également de manière rapprochée avec les équipes en charge du risque de crédit et du risque de marché. La mise en commun d’informations contribue à l’identification et à une réactivité accrue en présence de situation de fraude avérée ou de signaux faibles. Cette collaboration active permet en cas de tentative de fraude d’engager les mesures d’investigation et de blocage ou en cas de fraude aboutie d’engager la récupération des fonds et/ou l’activation des garanties et assurances associées.