Valérie Tudoux (RSSI, Natixis BFI) "Les tests réels annuels de PCA sont toujours source d'amélioration"
Comment se décompose l'organigramme sécurité au sein de la banque de financement et d'investissement de Natixis BFI?
L'équipe sécurité compte 12 personnes, déployées sur trois grands domaines. Premièrement, la gestion des habilitations englobant tout ce qui a trait à l'habilitation au système d'information et aux applications de marché, plus sensibles, et auxquelles nous veillons certainement un peu plus.
Une deuxième équipe s'occupe de la partie plan de continuité des activités (PCA). Elle a également la responsabilité de ce que nous appelons le plan de sauvegarde et d'archivage des données. Il s'agit d'un domaine assez complexe, notamment pour des questions de contraintes réglementaires.
Enfin la dernière équipe est dédiée à l'analyse de risque afin de veiller à la bonne prise en compte de la sécurité à l'initialisation d'un projet métier. Par exemple, dans le cadre de l'intégration d'une nouvelle application dans le système d'information, il est important d'identifier ses risques de sécurité potentiels : si celle-ci est associée à des données sensibles nécessitant aucune perte de données en cas d'interruption.
Il sera alors nécessaire de mettre en place un PCA spécifique, mais aussi de faire une gestion des habilitations appropriée, voire de mettre en place un système de cryptographie suivant le besoin.
L'équipe en charge de l'analyse de risque est également responsable du contrôle de l'application de la politique de sécurité, de la sensibilisation et de la communication sur la sécurité.
Quels sont les principaux risques identifiés dans votre secteur activité ?
Il s'agit en partie des risques d'infrastructure et de bâtiment, dont la couverture se fait par le biais du plan de continuité des activités et du plan de secours informatique. Sur ce sujet, nous sommes aidés par la réglementation.
C'est un risque d'autant plus majeur que les locaux de Natixis sont situés sur les fronts de Seine. De plus, en tant que grand groupe international, nous nous adaptons aux risques locaux : les tremblements de terre en Asie par exemple.
Un autre risque lié à l'activité est la fraude et le non respect des réglementations. Les solutions sont en ce domaine plus complexes à mettre en place aussi fonctionnons nous par petites briques successives pour répondre au risque.
De quelles briques s'agit-il ?
La première c'est la communication et la sensibilisation. Plus nous allons expliquer ce qu'est la sécurité et comment la mettre en place, et plus les utilisateurs y contribuerons et ainsi réduirons le degré de vulnérabilité.
"L'affaire Kerviel nous a permis de mettre en place, peut-être un peu plus rapidement, certains projets"
La deuxième brique c'est la gestion des habilitations. Il s'agit ici d'automatiser ces aspects afin de prendre en compte toutes les applications critiques et mettre en place un vrai processus de gestion des identités de type IAM.
Enfin des contraintes réglementaires spécifiques au milieu financier comme la traçabilité sont couvertes grâce à des outils permettant de collecter les preuves et de suivre une opération de bout en bout.
L'affaire Kerviel a-t-elle eu un effet électrochoc ?
La direction nous a donné les moyens humains et financiers pour avancer plus vite sur la gestion des habilitations et l'application des politiques de sécurité. Cela nous a permis de mettre en place, peut-être un peu plus rapidement, certains projets.
En ce qui concerne le PCA, quelle est la fréquence de vos tests réels ?
Elle est de deux par an en France. Le dernier a été réalisé en septembre. Ces tests sont essentiels pour tester les technologies, s'assurer de la mise à jour des procédures et de la bonne prise en compte des applications. C'est aussi un axe de sensibilisation pour les métiers et la direction qui peut ainsi vérifier son opérationnabilité. De manière générale, ces tests réels de PCA sont toujours source d'amélioration.