La Caisse des Dépôts allie confiance et résilience dans le Cloud public

Les mêmes stratégies de sécurité pour les données confidentielles du groupe et de l’Etat

« Environ 20 % de nos données structurées dans notre SI sont assujetties à la doctrine Cloud au centre ; ce qui signifie aussi que 80 % ne le sont pas », ajoute Arnaud Martin. Et cela pose la question de gérer 2 systèmes d’information séparés, avec des outils et des règles de protection des données différents ou bien d’unifier ces contraintes : « très vite, avec la DSI, nous avons considéré que c’était une ineptie de vouloir maintenir 2 systèmes en parallèle. Il nous fallait un modèle beaucoup plus englobant, avoir la capacité de définir quelles sont les données sensibles de l’entreprise, même si celles-ci ne sont pas des données sensibles de l’État. Dans un cas comme dans l’autre, il faut leur appliquer le même niveau de classification, depuis le niveau C1 public jusqu’au C4 secret ».

Pour chaque niveau de classification, un certain nombre de mesures de sécurité ont été définies. Les données éligibles à la doctrine Cloud de l’État sont les plus sensibles et sont traitées de la même manière que les données de la CDC classées C4 secret : « nous leur appliquons les mêmes contraintes, les mêmes mesures de protection de la donnée. Qu’il s’agisse des données de la Caisse des Dépôts ou des données qui sont traitées dans le cadre de ses mandats ». Le cadre de contrôle s’applique tant sur les données structurées que non structurées.

Cette démarche de classification systématique est relativement aisée pour les données structurées. Celles-ci sont identifiées dans les bases de données et à chaque table est attribué le niveau de classification adéquat : « nous avons la chance d’avoir des équipes d’analyse de risque Cyber qui vont effectuer ces analyses pour chacune de nos applications. Par contre, pour les données non structurées, c’est plus complexe ».

Là, l’utilisateur devant envoyer des fichiers à un tiers doit classifier lui-même le message au bon niveau de sécurité, de même que les pièces jointes à ses emails et tous les fichiers bureautiques qu’il produit sur son poste : « nous avons des outils de protection des flux d’information sur nos réseaux, la capacité à contrôler tous les documents qui ont été marqués au travers d’une solution de DLP. Sur ces données non structurées, environ 5 % sont classifiées comme sensibles par nos utilisateurs ».

Pour les messages envoyés vers l’extérieur, le corps du message est souvent moins sensible que ne peuvent l’être les pièces jointes. Il est donc possible d’envoyer des messages en clair. Par contre, le destinataire doit cliquer sur un lien pour télécharger les pièces jointes. Ce mécanisme permet à la CDC de maîtriser la durée de rétention des fichiers sur les serveurs. Une fois que les pièces jointes ont été téléchargées, celles-ci sont effacées afin d’éviter qu’un tiers ne vienne les télécharger à nouveau si le message lui a été transféré.

Réagir lors des premiers jours d’immobilisation du SI

La stratégie de résilience de la Caisse des Dépôts met elle-aussi à profit les capacités du Cloud et notamment des services qualifiés SecNumCloud.

Les équipes SI et cyber ont notamment réfléchi à la problématique des 3 premiers jours d’une attaque cyber majeure, cette phase où l’ensemble du système d’information est mis en quarantaine et n’est plus accessible aux collaborateurs : « nous sommes revenus aux fondamentaux en nous posant la question de ce dont ont besoin les collaborateurs pendant les 3 premiers jours en cas d’immobilisation totale du système d’information ».

Si aucun responsable de la sécurité ne souhaite connaître un tel scénario, il doit songer aux premiers jours de sidération qui font suite à une attaque majeure et qui précèdent le lancement des plans de continuité d’activité (PCA). Une série de besoins de base ont été identifiés auxquels il faut apporter une réponse immédiate. Les collaborateurs doivent pouvoir continuer à échanger des emails, disposer d’une messagerie instantanée et organiser des visioconférences ou encore stocker des fichiers sur une plateforme située hors du périmètre du SI.

La téléphonie resterait disponible à la CDC car tous ses collaborateurs ont été équipés de smartphones sur un réseau tiers opérateur. Toutes ces fonctionnalités font partie d’un bundle de besoins fondamentaux liés à la résilience opérationnelle du groupe : « en cas de "grand soir" au niveau du SI, ces fonctions doivent être accessibles en mode dégradé de manière totalement déconnectée du SI ».

Logiquement, Arnaud Martin a privilégié une solution déjà éprouvée en interne par le conseil de surveillance dans le cadre de la Data Room. Les membres du conseil peuvent communiquer et échanger des documents confidentiels sur cet espace sécurisé hébergé chez un fournisseur SecNumCloud, de même que partager des fichiers avec les filiales et partenaires de manière sécurisée : « c’est le même outil que nous allons mettre en œuvre pour notre résilience opérationnelle. Si un jour nous perdons la totalité de nos serveurs, de nos espaces de stockage internes, nous aurons la capacité d'exploiter cette plateforme ».

L’ensemble des plans d’urgence et de poursuite d’activité sont aussi stockés sur cette plateforme externe. Elle doit permettre à la Caisse des Dépôts de d’assurer la sécurité des données les plus sensibles, même en cas de crise Cyber majeure : « nous avons choisi de ne pas opter pour un nouvel outil à déployer en cas de fonctionnement en mode dégradé. Même si cet outil est plus facile d’accès, les collaborateurs n’auraient pas l’habitude de l’utiliser. Nous avons préféré nous caler sur un outil qui est déjà utilisé par une partie non négligeable des collaborateurs du groupe. Ceux-ci pourront jouer le rôle d’ambassadeurs auprès des autres en cas de basculement en mode dégradé ».