Conformité & sécurité :
assurer la protection et la fiabilité

La gestion des risques et les dispositifs de contrôle

La continuité des activités est assurée par le plan de gestion de crise (PGC), le plan de continuité des activités (PCA) et le plan de secours informatique (PSI).

Le plan de gestion
de crise

Le PGC décrit comment sont assurés la direction et le contrôle des opérations lors d’un incident ayant un impact sur nos activités. Il guide la cellule de crise, composée de membres permanents et d’experts en fonction du sinistre.

Le plan de continuité
des activités

Le PCA nous permet de faire face à une situation de crise pouvant perturber ou interrompre l’activité. Il identifie les menaces sur notre organisation, l’impact sur les opérations et les moyens d’y remédier.

Le plan de secours informatique

Le PSI nous permet de garantir la reprise du système informatique le plus rapidement possible en cas d’incident et d’assurer un service minimum auprès de nos clients. Les tests du PSI sont réalisés chaque année par la Direction des Systèmes d’Information (DSI) et le Responsable de la Sécurité des Systèmes d’Information (RSSI).

Le contrôle interne s’appuie sur des ressources humaines formées et compétentes, une culture de l’approche par les risques et un souci constant du travail bien réalisé, un environnement de travail homogène et guidé par des procédures et modes opératoires.

L’audit interne, réalisé par un cabinet de conseil externe et planifié sur 3 ans, évalue l’adéquation et l’efficacité de l’ensemble du système de contrôle interne.

La lutte contre la fraude (interne ou externe) repose sur la détection régulière des fraudes au cours de l’année par nos collaborateurs et sur un audit anti-fraude annuel réalisé par un cabinet externe. Tous nos collaborateurs sont sensibilisés à la lutte anti-fraude.

Les contrats et audits de nos prestataires font l’objet d’un contrat qui encadre leurs interventions, permet de se conformer à la réglementation et prévoit une clause d’auditabilité en fonction de leur criticité et conformément au planning d’audit triennal en place.

En savoir plus

La conformité

Le respect de la loi informatique et libertés ainsi que la conformité avec le règlement de l’Union européenne sur la protection des données personnelles (RGPD) du 25 mai 2018 sont assurés grâce à l’appui d’un délégué interne à la protection des données personnelles et à la formation de l’ensemble des collaborateurs.

La recommandation ACPR en vigueur et les bonnes pratiques sont appliquées dans le cadre des contrôles de niveau 1 et 2, avec une formation spécifique dispensée aux collaborateurs.

Les salariés Génération sont formés à la réglementation relative à la LCB-FT et aux procédures internes dès leur intégration. Des contrôles sont régulièrement réalisés, notamment le croisement de la liste unique avec la base de données afin d’identifier d’éventuels cas d’homonymies.

L’accès aux informations est limité aux seules données nécessaires à l’exercice des activités de chaque collaborateur Génération, ce qui permet de réduire le risque d’erreur, de prévenir la fraude et de garantir l’efficacité des opérations.

Une démarche d’amélioration continue est maintenue au sein des métiers afin d’assurer une qualité de service optimale auprès des clients, d’optimiser les processus, d’innover et de proposer de nouveaux modes de fonctionnement.

La base documentaire de Génération compte à ce jour plusieurs centaines de procédures et modes opératoires, périodiquement actualisés et diffusés aux collaborateurs concernés pour validation.

La sécurité informatique

Génération s’appuie sur une DSI Groupe composée au total de près de 200 personnes.

L’organisation de notre sécurité SI

L’organisation de la sécurité du SSI repose sur des instances de pilotage de la sécurité. Un comité stratégique SSI trimestriel valide les politiques, le plan d’action et le plan de contrôle sécurité SI et suit l’avancement des actions, les indicateurs et les faits marquants. Un comité opérationnel SSI trimestriel valide les standards de sécurité SI et pilote le niveau de sécurité opérationnel de sécurité SI.

Notre plan de secours informatique

Le plan de secours informatique (PSI) prévoit l’indisponibilité d’un de nos Datacenters. Son dispositif fait l’objet d’un test annuel donnant lieu à un procès-verbal. Notre PSI prend en compte l’alimentation électrique, la climatisation et l’extinction automatique, les liaisons télécom et la téléphonie, le réseau et les serveurs, le stockage et la sauvegarde, ainsi que la supervision 24/7.

Un dispositif de sécurité des systèmes d’information

Génération s’appuie sur une politique de sécurité des systèmes d’information (PSSI). Une batterie de tests (continuité, intrusion, etc.) et audits de sécurité est mise en place. Génération a obtenu les certifications ISO 27001 et HDS (Hébergeur de Données de Santé) pour la sécurité de son système d’information en assurance collective.

La sécurité dans les processus d’intégration, de développement et de maintenance SI

Nos processus d’intégration, de développement et de maintenance SI intègrent la sécurité dans les projets SI, un développement sécurisé et un corpus de règles sécurité. Le maintien en conditions opérationnelles (MCO) de la sécurité du SI repose sur une protection contre les codes malveillants, la traçabilité des actions et la gestion des incidents de sécurité SI.

La protection des informations

Notre sécurité informatique passe aussi par le respect de règles appliquées par l’ensemble de nos salariés. Elle est assurée par la demande d’extrait de casier judiciaire à l’embauche, la clause de confidentialité intégrée dans le contrat de travail, la charte informatique annexée au règlement intérieur, la charte administrateur diffusée aux équipes SI, la gestion des outils et des habilitations et le contrôle d’accès au SI de chaque salarié, ainsi que la sensibilisation régulière et la formation des salariés à la sécurité.