freshidea - Fotolia
Crédit Agricole : une approche de la sécurité modernisée
A l’occasion d’un atelier organisé aux Assises de la Sécurité, Federico Garcia a expliqué la manière dont le Crédit Agricole a rénové son approche de la sécurité pour prendre en compte les évolutions des technologies de l’information.
C’est une réflexion en profondeur sur ce que doit être la sécurité informatique aujourd’hui que présentait Federico Garcia, RSSI adjoint du Groupe Crédit Agricole SA, lors d’un atelier organisé aux Assises de la Sécurité, début octobre, à Monaco.
Comme il l’explique lui-même, « tout est parti d’un constat », partagé par beaucoup : en quelques années, les impératifs d’ouverture des systèmes d’information, le développement de la mobilité, notamment avec des tendances telles que le BYOD, ou encore les contraintes de gestion des données… tout cela a subit une forte « accélération ». Et cela s’ajoute un paradoxe : « nous devons nous protéger, mais les solutions de sécurité mal utilisées peuvent être elles-mêmes un vecteur d’attaque ». Une prudence renforcée par l’incertitude induite par les révélations sur les activités de la NSA. Si Federico Garcia ne les mentionne pas directement, il fait référence au risque de « fuites de données vers certains états », à partir de solutions de sécurité de même origine géographique – certains RSSI parlent « d’essayer de couper les fils », explique-t-il.
Mais c’est déjà en 2012 que le Crédit Agricole a décidé d’adopter une approche plus « globale » de la sécurité, au lieu de continuer à penser en silos avec d’un côté la sécurité du réseau, celle des postes de travail, ou encore celles des données et des applications. Le tout mieux intégrer la réflexion dans une logique de gestion du risque : « l’analyse de risque est essentielle. Il s’agit de savoir quels sont les risques que l’on doit couvrir et quels sont ceux que l’on peut prendre ».
Une approche global et opérationnelle
Surtout, Federico Garcia insiste : « la sécurité doit être opérationnelle » : « si on ne met pas en place des solutions qui nous protègent, c’est comme si l’on n’avait rien fait. Une politique de sécurité, une spécification technique n’ont jamais arrêté un malware ».
C’est donc tout l’esprit du programme CANOES, pour « Crédit Agricole Nouvelle Orientation En Sécurité », un programme qui se traduit dans l’organigramme afin d’adapter la gouvernance. Avant, le RSSI était rattaché au contrôle permanent, « ce qui l’amenait à faire beaucoup de tableaux de bord et de politiques de sécurité », mais pas peser véritablement sur la « stratégie de sécurité opérationnelle ». Désormais, le RSSI est sur un pied d’égalité avec le DSI et a été repositionné dans « un rôle beaucoup plus concret et opérationnel », explique Federico Garcia. Pour autant, la DSI garde la responsabilité de la sécurité des services informatiques qu’elle fournit, ce qui se matérialise en son sein par la présence du RSI, le responsable de la sécurité informatique.
La sécurité de l’information se trouve au final abordée suivant sept axes : la communication et la sensibilisation – des utilisateurs, mais aussi des administrateurs et des développeurs ; la protection des données ; celle des infrastructures critiques ; la reconstruction des données ; la gestion de crise – « une crise cyber n’est pas une crise comme les autres » ; les exercices d’exploration/évaluation. Mais aussi et surtout : les capacités de détection/réaction. Celles-ci sont couvertes par un « projet intègre très ambitieux » – qui avance « difficilement », concède Federico Garcia, soulignant la complexité du sujet – de maillage « de l’ensemble du groupe par un ensemble de centres de sécurité opérationnelle ». Des SOC, éléments clé d’une approche, justement, opérationnelle de la sécurité – dont il sera important de ne pas exclure les éventuels services Cloud déployés au sein du groupe.
Sanctuariser les budgets
Mais adopter une stratégie de sécurité est une chose ; sécuriser les budgets nécessaires à sa mise en œuvre, à long terme, en est une autre. Comme le souligne avec une pointe d’humour Federico Garcia, le jour où l’on établit la stratégie, « tout le monde est partant ». Le jour suivant, lorsqu’il s’agit de discuter des budgets, l’enthousiasme est moins prononcé… « Nous avions besoin sortir de ce cercle vicieux ». D’où une approche proactive de sanctuarisation du budget sécurité du système d’information, jouant sur la planification, avec le programme CARS – « Crédit Agricole Renforcement de la Sécurité » – qui permet justement d’anticiper et de programmer à l’avance les investissements qui seront nécessaires à la concrétisation de la nouvelle stratégie de sécurité du groupe bancaire.