Emilie Brié-Philippe (CDC) : « la cybersécurité est l’affaire de tous ! »
Emilie Brié-Philippe est RSSI de la Direction des Politiques Sociales à la Caisse des Dépôts et Consignations. Elle revient ici sur ses approches en matière de cybersécurité.
Pour commencer, pouvez-vous nous présenter le Groupe CDC ?
Le groupe Caisse des Dépôts est un établissement financier public remplissant des missions d’intérêt général en appui des politiques publiques. Cette mission nous est confiée par la loi.
Au total, 350 000 collaborateurs y travaillent et sont répartis au sein de l’Établissement Public (Banque des territoires, Politiques sociales, Gestion des participations stratégiques, gestion d’actifs), des 29 filiales et participations et des deux partenaires stratégiques (le Groupe La Poste et Bpifrance).
Il s’agit d’un groupe hétérogène avec de nombreuses activités.
Depuis plus de 200 ans, la Caisse des Dépôts et Consignations (CDC) joue un rôle majeur dans la transformation de notre pays. Elle accompagne des projets d’envergure qui contribuent au développement interne et au rayonnement extérieur de la France. En 2024, l’institution publique a été contributrice au budget de l’État en versant 2,1 milliards d’euros. Avec un résultat net agrégé (résultats consolidés incluant les contributions des filiales) s’élevant à 5,1 milliards d’euros, le groupe Caisse des Dépôts confirme, par ailleurs, sa robustesse financière.
La raison d’être du Groupe s’incarne à travers trois objectifs stratégiques : la transformation écologique, la cohésion sociale et territoriale et les souverainetés.
Le sujet des souverainetés, et plus particulièrement la souveraineté numérique, est clé pour la cybersécurité. Le but est de contribuer à répondre de façon autonome à l’évolution des enjeux numériques afin de développer globalement notre économie nationale et plus spécifiquement les usages numériques dans un cadre de confiance et de sécurité (cloud, intelligence artificielle, data, cybersécurité, télécommunications).
Comment est organisée l’IT et la cybersécurité ?
Je travaille avec un binôme au sein de l’équipe des RSSI de la Direction Cyber & SI dirigée par Odile Duthil. La Banque des Territoires bénéficie également d’un duo de RSSI mais les autres directions ont un RSSI dédié. En tout, il y a une dizaine de RSSI.
La Direction Cyber & SI est rattachée au Département Risques Opérationnels Cyber & Contrôles piloté par Arnaud Martin qui est un des piliers de la Direction des Risques du Groupe. Arnaud Martin et Odile Duthil sont très investis et reconnus dans le milieu cyber. Ainsi, Odile Duthil a récemment été élue Présidente du Clusif et Arnaud Martin est vice-Président du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique).
Retrouvez Emilie Brié-Philippe à la Cyber Night
Emilie Brié-Philippe est membre du jury des Trophées de la Cyber Night. Elle va donc assister aux présentations des candidats le 6 novembre 2025 et interviendra à la cérémonie le 24 novembre 2025 au Théâtre Mogador à Paris.
Quelles sont les approches de la CDC en matière de cybersécurité ?
Odile Duthil inscrit l’approche cybersécurité dans la continuité des travaux entrepris par Arnaud Martin puisqu’elle a pris sa suite après avoir été son adjointe pendant trois ans. L’approche cybersécurité à la CDC repose sur les 3 lignes de défense classiques.
La première ligne de défense est composée des fonctions opérationnelles qui sont propriétaires des risques de sécurité des systèmes d’information (SSI) liés aux activités qu’elles exercent.
La deuxième ligne de défense est constituée par la fonction chargée de la SSI, sous la responsabilité de la Directrice cybersécurité du groupe Caisse des Dépôts, entourée d’une équipe de sécurité.
La troisième ligne de défense est assurée par l’inspection générale et audit interne du Groupe. Sa mission est de donner à la gouvernance une assurance objective, indépendante et globale sur l’efficacité des processus de gouvernance, de gestion des risques SSI et du contrôle interne.
L’analyse des risques est la base de notre cybersécurité. Nous surveillons nos risques (connus et émergents) et adaptons notre appétence aux risques pour renforcer la robustesse de notre dispositif selon une approche holistique et opérationnelle.
En parallèle, nous communiquons pour faire comprendre à tous ce qu’est un cyber-risque, en sensibilisant, en contrôlant et en auditant afin de renforcer une communauté vigilante aux enjeux des risques cyber. La cybersécurité est l’affaire de tous !
Vous avez un profil très juriste, orienté conformité. Comment abordez-vous les sujets plus techniques ?
Ma formation juridique et conformité, ainsi que mes expériences professionnelles passées, sont les fondations de ma culture risques. Toutefois, j’ai toujours conservé une dimension de mes fonctions sur les sujets cyber notamment en co-président le club cyber de la French Tech à Singapour puis le Groupe d’expertise Intelligence économique et cyber des Conseillers du Commerce Extérieur à Paris.
Ce sujet m’a toujours passionné et la fonction de RSSI m’a tout de suite intéressée. Elle couvre des aspects techniques et organisationnels. Mon responsable m’a associée à un binôme avec un profil très tech et opérationnel. Et, pour ma part, je connais bien les sujets de réglementation, sensibilisation et contrôles. Nous sommes donc complémentaires et nous avons trouvé un très bon équilibre de travail ensemble. Puis, j’avoue : j’aime les défis, j’apprends et je peux compter sur mes responsables et mes collègues pour m’accompagner dans mon apprentissage et renforcer mes compétences.
Dora, NIS2, c’est le passé ?
Au sein du groupe CDC, les travaux réglementaires impactant nos sujets cyber, comme DORA, sont gérés de manière transversale, donc ce n’est pas le passé. Je suis impliquée différemment, plus opérationnellement, dans mes nouvelles fonctions. En 2025, le déploiement du chantier se poursuit pour l’Etablissement public et les entités assujetties du Groupe CDC comme BPI, CNP, SFIL et des structures plus petites comme CDC Investissement Immobilier, Ampère Gestion et CDC Placement.
Concernant NIS2, l’Établissement public n’est pas assujetti mais certaines entités du groupe le sont comme La Poste. Nous suivons la mise en conformité de manière transversale mais le principe de subsidiarité s’applique et chaque entité gère cette conformité de manière autonome.
Pour terminer, quels sont les défis qui vous restent à relever dans les mois et années qui viennent ?
Les défis à relever sont ceux de tous les acteurs du secteur bancaire et assurantiel. Nous avons les défis récurrents comme, par exemple, l’obsolescence technique et la nécessité d’être considérés comme des partenaires des métiers. Encore une fois, il faut savoir convaincre que la cybersécurité est l’affaire de tous et que les incidents n’arrivent pas qu’aux autres.
Il y a aussi les défis liés à l’actualité comme la réglementation renforcée, l’IA et la souveraineté numérique au regard de la géopolitique actuelle.
Et bien sûr, il y a l’imprévu !
Ce cocktail nous rappelle que nous devons être capables d’anticiper de nouveaux risques et être prêts pour les affronter.