Arnaud Martin (CDC) : « l’analyse de risques est la base de notre cybersécurité »

La Caisse des Dépôts et Consignations est souvent présentée comme un fonds souverain français. Qu’en est-il ?

La Caisse des Dépôts et Consignations est un grand groupe qui constitue une capacité d’investissement au niveau de l’établissement public (7000 collaborateurs) et de ses filiales (environ 380 000 collaborateurs). Nous nommons « filiale » une entreprise où nous exerçons le contrôle (pas forcément avec un contrôle de la majorité du capital). Par exemple, parmi nos filiales, citons : CDC Habitat (logement social), Transdev, le groupe La Poste, BPIfrance…

Nous avons aussi une direction de la gestion des participations stratégiques. Celle-ci gère nos participations dans des entreprises dont nous avons renforcé le capital alors qu’elles connaissaient des difficultés conjoncturelles. Par exemple, récemment, Nous sommes rentrés au capital d’Orpea.

Comment s’organise l’IT de la CDC ?

Chaque filiale dispose de son propre SI. Chaque DSI a donc, de ce fait, une forte responsabilité sur celui-ci. Il n’existe pas d’interconnexions applicatives, réseaux ou autres entre les différents SI, notamment pas au niveau des annuaires Active Directory. Cela permet d’éviter la latéralisation des cyber-attaques.

Au niveau de l’établissement public, nous disposons d’un core-system bancaire sur mainframes, dans nos propres datacenters hébergés par la Banque de France. A côté, nous pouvons utiliser du cloud public pour des SaaS. Nous utilisons ainsi Microsoft Office 365. Certaines applications on premise devant se connecter au cloud public sont dans une zone spécifique de nos datacenters.

Et votre cybersécurité ?

Nous suivons le modèle bancaire. Nous sommes organisés en trois lignes de défense.

La première est la sécurité opérationnelle. Elle est confiée à la DSI et assure des missions telles que l’installation des solutions (anti-virus…) et des patchs. Ce pôle comprend aussi le SOC et le CERT.

La deuxième ligne, c’est celle plus stratégique avec une vision basée sur l’approche par les risques et la maîtrise de ceux-ci. Outre les plans de contrôles, cette deuxième ligne comprend aussi un appui à la première ligne pour gérer les crises.

Enfin, la troisième ligne, c’est celle des audits périodiques ou thématiques ciblés.

La deuxième ligne et le CERT ont une portée groupe, le SOC est par principe plus au niveau de l’établissement public.

L’analyse de risques est la base de notre cybersécurité. Pour chaque application, nous définissons les risques sur quatre critères : la disponibilité, l’intégrité, la confidentialité et la preuve (ou la traçabilité). Plus une application est sensible, plus elle sera isolée et dans nos propres datacenters. Par exemple, le SIEM est on premise.

Nous sommes partiellement assujettis à la doctrine « Cloud au Centre » de l’État, uniquement lorsque l’on opère sur mandat de l’État, pas pour le reste.

Vus vos activités et votre statut, quelles sont vos obligations particulières ?

Nous cumulons en effet des obligations liées à nos différentes activités. Nous avons ainsi à suivre les règles posées par l’ANSSI voire la Loi de Programmation Militaire ; celles des régulateurs bancaires et, quand on opère pour le compte de l’État, nous sommes soumis au RGS (Référentiel Général de Sécurité).

A chaque fois qu’un texte réglementant la cybersécurité est publié, nous vérifions si nous sommes concernés sur tout ou partie de notre groupe, qu’il s’agisse de l’établissement public ou de filiales.

Nous avons aussi un rôle de tiers de confiance pour tous les citoyens. Nous devons donc, à ce titre, être au maximum de l’état de l’art.

Enfin, un axe prioritaire du mandat de notre directeur général est le développement de solutions souveraines, y compris en cybersécurité et sur le cloud. C’est la raison pour laquelle nous avons financé Numspot https://www.republik-it.fr/acteurs-it/cloud/alain-issarni-numspot-recourir-au-cloud-secnumcloud-doit-devenir-normal.html . Nous avons aussi investi dans Hackuity, YesWeHack, Egerie, Sesame IT…

Cependant, pour nos propres achats, nous sommes soumis au Code des Marchés Publics. Nous ne pouvons donc pas exiger, par exemple, une certification SecNumCloud si elle n’est pas nécessaire.

Comment garantissez-vous une bonne expérience employés malgré toutes vos contraintes, ne serait-ce que pour éviter un contournement de confort ?

Nous avons du personnel habitué aux contraintes bancaires et très sensibilisé aux obligations en matière de cybersécurité. Donc nous n’avons pas ce genre de problème.

Tout le monde est équipé avec un ordinateur portable et un smartphone professionnels. Le BYOD est strictement interdit. Les ports USB du PC sont verrouillés, les sites de partage ou de messageries personnelles sont filtrés… Bref, nous appliquons les fondamentaux de l’hygiène informatique qui sont, ailleurs, malheureusement parfois oubliés. Cela nécessite, en retour, d’être absolument irréprochable en matière de qualité de service sur nos solutions, notamment la fluidité de notre VPN, ce 24/24 7/7.

Sur chaque smartphone, nous avons paramétré deux containers : un personnel et l’autre professionnel pour malgré tout permettre un usage personnel raisonnable.

Comment gérez-vous le télétravail ?

Nous avons jusqu’à trois jours de télétravail par semaine, la moyenne étant aux environs de deux.

Le domicile est géré comme une excroissance du lieu de travail via le PC professionnel. Nous avons juste dû mettre en place un accroissement de la vigilance sur les fuites de données. Le cas classique est de s’envoyer un document par mail sur une adresse personnelle pour l’imprimer chez soi, ce qu est évidemment interdit et bloqué. Si l’on veut imprimer alors que l’on est en télétravail, la première question à se poser, c’est bien sûr si c’est nécessaire. Puis si ça peut attendre le retour au bureau : il suffit alors d’envoyer l’impression dans la file d’attente et de le récupérer avec son badge en arrivant au bureau. Enfin, dernière solution s’il y a une urgence, nous avons installé un plug-in qui permet d’envoyer sur une messagerie externe un lien éphémère autorisant l’impression d’un document mais pas son stockage persistant dans une boîte mail ou un PC non-contrôlé. L’usage de ce système est surveillé et nous veillons à ce qu’il y ait une quantité d’usages raisonnable.

Quelles opérations de sensibilisation menez-vous auprès de vos collaborateurs ?

Nous considérons que nous ne pouvons pas toucher tout le monde par le même canal.

A la demande du régulateur, nous avons mis en place des formations de type MOOC obligatoires tous les deux ans. Le problème est que cette formation est subie, donc pas nécessairement suffisante.

Les nouveaux arrivants ont des formations plus spécifiques, en présentiel, comme certaines populations sensibles.

Durant le Cybermois, en Octobre, nous diffusons des vidéos en mode « décalé » sur les conséquences d’imprudences.

Nous distribuons en ligne et en papier des bandes dessinées sur les bonnes pratiques.

Sur l’intranet, nous envoyons régulièrement des messages liés à l’actualité.

Enfin, comme nous avons des engagements de résultat, nous menons des campagnes de faux phishings tous les deux mois environ, pour vérifier que les bonnes pratiques (comme le signalement des mails suspects et, bien sûr, le non-clic sur les liens) sont bien compris par tous.

La guerre des talents est-elle, pour vous, un problème ?

Finalement, pas tant que ça. Les projets et valeurs de l’entreprise comptent beaucoup aujourd’hui pour les jeunes générations. Et le fait que la CDC agisse pour le bien commun résonne bien chez les candidats. Et puis nous sommes dans un milieu bancaire : nous savons suivre le marché en termes de rémunérations.

Quels sont vos grands défis actuellement ?

Tout d’abord, le renforcement régulier de la réglementation nous amène de nombreux challenges à relever.

Le niveau global des cybermenaces s’est considérablement accru ces dernières années. Et certaines de nos filiales sont particulièrement menacées car elles sont exposées dans le cadre des grands événements sportifs.

Enfin, je mentionnerai l’accroissement du nombre de cas d’usages de l’intelligence artificielle. Cela constitue une rupture en matière de cybersécurité. Nous souhaiterions une transition douce sur cette technologie.