Stratégie

Assises de la sécurité : pas de performance sans sécurité au Crédit Agricole

Aymeric de la Vaissière est devenu Responsable sécurité et performance de Crédit Agricole SA

Retrouvez cet article dans le CIO FOCUS n°152 !

La révolution numérique transforme le secteur bancaire

La banque est un secteur où le digital a tout balayé. De la relation client aux systèmes internes, la révolution numérique est partout, frappant même les immenses Legacy à coup de cloud. La Société Générale a fait le choix de totalement se transformer en s'appuyant sur cette révolution numérique, y...

Découvrir

Le Crédit Agricole SA a créé une fonction de Responsable sécurité et performance pour mieux discipliner ses chefs de projets. Le titulaire, Aymeric de la Vaissière, a témoigné du contenu de son poste lors des Assises de la Sécurité.

PublicitéIl n'y a pas que les RSSI dans la vie, le Crédit Agricole SA (CASA) a créé il y a huit ans la fonction de RSP, Responsable sécurité et performance IT, au sein de la DSI - ITSO/ITPO. Elle est confiée à Aymeric de la Vaissière. Son titre suffit à le définir, mais il a fait un bilan de son activité ce 12 octobre 2017, lors des Assises de la sécurité. Aymeric de la Vaissière a passé ses huit dernières années à instiller le réflexe sécurité dans tous les projets de CASA, avec le soutien des DSI successifs. Un responsable parti de rien ou presque, « il y a huit ans, chacun restait planqué derrière son firewall, sans jamais voir un hacker ». La pique s'adresse autant aux équipes internes qu'aux fournisseurs qu'il a su convaincre.
Sa priorité a été de faire comprendre que la première des mesures de sécurité, c'était de garantir la performance. Un projet a été lancé avec un budget d'investissement d'un million d'euros sur huit ans. Il passe par le monitoring, les tests de charge et de sauvegarde, le chiffrement, le cloisonnement, la traçabilité et la surveillance. Projet accompagné d'une cartographie en règle du SI de CASA. Elle existait déjà, mais n'entrait pas suffisamment dans les détails nécessaires à une sécurité de haut niveau, en particulier sur les applications et les réseaux. « Un clic d'un utilisateur, chez nous, c'est 17 tronçons de réseau empruntés » note le RSP. Mission délicate, la cartographie permettant d'identifier les erreurs et leurs auteurs et de les accompagner pour faire passer son message et ses préconisations.

Discipliner les chefs de projet

Le RSP s'est aussi lancé dans un référentiel groupe de sécurité, le SECAPI, diffusé au sein de la DSI pour instiller les bonnes pratiques à suivre pour les responsables de projet. « Ils doivent intégrer une véritable discipline de sécurité». Le RSP a installé pour eux des mécanismes de guichet obligatoire.
Autant d'étapes où le RSP ne peut agir seul, surtout pour peser dans les pratiques de ses collègues. « Quand on est RSP, mieux vaut être copain avec le DSI, mais il faut littéralement le hacker ». En clair, lui montrer sur son poste où sont les failles. Ce fut le cas par exemple sur une application RH. Après cette démonstration, le DSI était convaincu par le discours de son RSP. Cette confiance a permis au RSP d'engager des mesures successives, en 2011 sur les audits de projets, en 2013 sur les stocks (avec un budget de trois millions d'euros sur trois ans), en 2014 auprès du Codir du SI pour la conduite de projets, en 2016 pour la sécurisation en profondeur du SI, en lien avec la loi LPM. Des mesures et des contrôles sont industrialisés avec un planning trimestriel.

Oppida en chef de file des prestataires audit

Relation plus délicate avec la direction des achats, qui imposait un appel d'offres et un bon de commande pour tout audit de sécurité. Un mécanisme décourageant en interne, comme pour les prestataires externes. Le RSP a levé ce blocage en imposant un mécanisme prévisionnel et des prestations forfaitaires à environ 5 K euros. Un prestataire leader est désigné, Oppida, mais accompagné d'autres fournisseurs, histoire d'entretenir une saine émulation dans les prestations d'audit.
Aymeric de la Vaissière ne craint pas d'entrer dans les détails. Certaines sociétés d'audit se sont vues indiquer la porte de sortie pour avoir tenté de contourner le RSP, en allant traiter directement avec les responsables projets. « Et certains pain testeurs ont été évacués d'urgence, ils devenaient fragiles ». CASA sait entretenir la concurrence. Et faire pression sur ses fournisseurs. Aymeric de la Vaissière cite (sans le nommer) un fournisseur du Pentagone et du Ministère de la Défense qu'il a audité, comme tous les autres. Ce prestataire si bien référencé, présentait pourtant des failles importantes. Il a nommé un CISO interne, après être passé sous les fourches caudines des audits de CASA.

D'autres retours d'expérience à découvrir

Le 21 novembre prochain, CIO vous donne rendez-vous pour une Matinée Stratégique sur le thème Cybersécurité : nouvelles menaces, nouvelles solutions. Les RSSI iront-ils plus vite que les hackers ?
Nous attirons votre attention sur la qualité des intervenants :
- Henri d'Agrain, délégué général du Cigref
- Alain Bouillé, Président du Cesin et Directeur de la sécurité des SI Groupe à la caisse des Dépôts,
- Gérôme Billois, Partner Cybersecurity & Digital Trust, au cabinet Wavestone.
- Mahmoud Denfer, Global CISO, Vallourec.
- Philippe Loudenot, FSSI, Ministère Sociaux.
- Stéphane Nappo, Global CISO, Société Générale IBFS.
- José Perez, RSSI, Allianz.

Retrouvez le programme complet et les détails pratiques ici.