Stratégie

Philippe Coué, Crédit Agricole : « la préparation des crises cyber repose sur la répétition des entraînements »

Philippe Coué, Crédit Agricole : « la préparation des crises cyber repose sur la répétition des entraînements »
Philippe Coué, Chief operating officer cybersécurité et risques IT de Crédit Agricole : « L’objectif est de parvenir à un processus de gestion de crise maîtrisé par les équipes, afin d’être performant le jour J. »

Le Chief operating officer cybersécurité et risques IT du groupe Crédit Agricole détaille la préparation des crises cyber au sein de la banque mutualiste. Les actions de sensibilisation côtoient des exercices grandeur nature, voués à entraîner l'organisation à surmonter des crises.

PublicitéSensibiliser les collaborateurs aux menaces et s'entraîner à gérer des crises cyber. Ce sont ces actions de fond qu'est venu détailler Philippe Coué, Chief operating officer cybersécurité et risques IT du groupe Crédit Agricole, interviewé dans le cadre de notre émission Grand Théma CIO/Le Monde Informatique dédiée à la cyber-résilience. Cette préparation aux événements de cybersécurité se déploie dans toutes les strates de l'organisation au sein du groupe mutualiste. « Malgré notre structure fédérale, nous avons une vision groupe de ces sujets, au travers plusieurs types d'actions », précise Philippe Coué. Les actions de sensibilisation sont ainsi de plusieurs natures : des exercices menés en continu côtoient des actions récurrentes - comme le cyber-mois qu'organise Crédit Agricole et qui se matérialise par un accroissement des actions de sensibilisation autour de thématiques spécifiques - ou encore des actions coup de poing, comme celles lancées au moment des JO en 2024. Au total, le groupe Crédit Agricole dit consacrer plusieurs centaines de milliers d'euros à ces sujets de sensibilisation. « Et c'est un budget sanctuarisé », précise son responsable.

La maturité croissante des collaborateurs est notamment portée par les campagnes de faux phishing qu'organisent de façon continue les équipes cybersécurité de la banque. « Nous essayons d'avoir des campagnes ciblées, inscrites dans un contexte d'actualité. Mais, dans leur grande majorité, nos collaborateurs ne se font plus prendre ; leur niveau de maturité a clairement augmenté. Le taux de succès de ces campagnes de tests diminue donc, sauf à faire évoluer leur complexité », précise le Chief operating officer cybersécurité et risques IT. Ce dernier précise ainsi étudier à l'intégration de Deepfakes dans ces campagnes, « peut-être en commençant par des profils spécifiques, comme le top management ou des fonctions très menacées comme les trésoriers. »

Les exigences de Dora

Au-delà de ces exercices ciblant les collaborateurs, les banques entraînent également leur organisation à surmonter des crises cyber. D'abord via une simulation annuelle organisée par la Banque de France et réunissant l'ensemble de la communauté bancaire hexagonale. « L'an dernier, l'accent était placé sur la communication entre les différentes cellules de crise, ce qui correspond bien à notre modèle fédéral, et sur la manière dont elles synthétisent l'information de façon intelligible pour une direction générale, afin que celle-ci puisse prendre des décisions concrètes », explique Philippe Coué.

Voir l'interview de Philippe Coué (vidéo, 13 min.)

PublicitéS'y ajoutent les exercices purement internes, visant à parfaire l'entraînement des équipes. « Un bon entraînement d'une cellule de crise passe par la connaissance des interlocuteurs et des façons de travailler avec ceux-ci. L'objectif est de parvenir à un processus de gestion de crise maîtrisé par les équipes, afin d'être performant le jour J. Il faut que les équipes soient habituées à communiquer sous la pression, y compris auprès d'une direction générale qui va être impatiente et réclamer des informations précises. C'est un dispositif qui se travaille », dit Philippe Coué. D'autant que la réglementation Dora, portant sur la résilience des établissements financiers, vient renforcer les obligations des établissements en la matière, en imposant une sensibilisation des directions générales sur les sujets de cyber-résilience et en encadrant les délais de reporting au régulateur des incidents importants. « Ce qui veut dire qu'il faut pouvoir analyser une problématique et en faire un reporting très rapidement », reprend le Chief operating officer cybersécurité et risques IT.

Reconstruire après la crise : un travail de longue haleine

Ces exercices sont l'occasion de tester les dimensions techniques de la gestion de crise, en particulier les phases de reconstruction après une attaque. « Car ce sont elles qui sont les plus longues, souligne Philippe Coué. Au-delà de la crise, il faut continuer à travailler en mode dégradé et, en parallèle, reconstruire un système d'information, ce qui peut prendre des semaines. La gestion de crise s'étale donc dans le temps, marqué par des points d'étape pour revenir in fine à un niveau normal. » Ce qui signifie qu'il faut planifier cette durée de vie de la cellule de crise, avec des évolutions des équipes impliquées et une rotation des personnels.

Voir l'interview de Philippe Coué (vidéo, 13 min.)

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Avez-vous mis en place une gouvernance de la collecte de données ?