Marc-Frédéric Gomez (Crédit Agricole) : « bien partager les informations entre CERT reste un défi »

Par Bertrand Lemaire | Le vendredi 6 janvier 2023 | Gouvernance

Responsable du CERT (Computer emergency response team) du groupe Crédit Agricole, Marc-Frédéric Gomez nous explique le rôle de ce service complémentaire des RSSI.

Marc-Frédéric Gomez est responsable du CERT commun à tout le groupe Crédit Agricole. - © D.R.

Pour commencer, pouvez-vous nous présenter brièvement le groupe Crédit Agricole ?

Présent dans 57 pays, le groupe Crédit Agricole sert 53 millions de clients au travers du réseau des caisses régionales Crédit Agricole, bien sûr, mais aussi au travers de l’ensemble de ses 89 marques. Nous disposons ainsi, par exemples, du réseau LCL, de la Banque Chalut (banque d’affaires), d’assurances (Prédica, Pacifica…)… sans oublier des services tels que Plein Champ (météo agricole) ou CA Grands Crus (négoce de vins). Le groupe revendique ainsi sa place de première banque de proximité, premier gestionnaire d’actifs européens, premier financeur de l’économie européenne et premier assureur en France.

Nos 147.000 collaborateurs sont tous sensibilisés régulièrement à la cybersécurité.

Le plan Ambitions 2025 souligne que le groupe Crédit Agricole S.A. a adopté le paradigme que certains pensent contradictoire selon lequel il est plus simple de penser long que de prévoir court.

Où se positionne le CERT dans le groupe Crédit Agricole ? Quel est son rôle ?

Le CERT du Groupe Crédit Agricole joue, depuis 2012, un rôle de coordinateur sur la réponse à incident dans le domaine Cyber pour l’ensemble des entités du groupe Crédit Agricole, tant bancaires, qu’assurantielles ou autres, toutes marques confondues.

Un CERT, c’est un « Computer emergency response team », c’est à dire une équipe de réponse à une urgence informatique. De ce fait, ses missions comprennent, pour commencer, la réponse à incidents, l’expertise en matière d’investigations cyber, les analyses numériques via le forensic digital [criminalistique numérique, NDLR] ainsi que la lutte contre la fraude liée au phishing et au typosquatting. Le CERT du groupe est opérationnel 24h/24 et 7j/7 pour assurer ses missions.

Le CERT est rattaché au CISO du groupe, Alice Glanard.

J’ajoute que le CERT du Crédit Agricole est la seule équipe de réponse à incidents certifiée SIM3 en France depuis 2021. Cette certification garantit, notamment aux autorités de régulation, le niveau de maturité et les processus associés en matière de réponse à incident.

Comment le CERT se positionne en regard des RSSI/CISO ? Comment se déroule une intervention ?

Toutes les entités du groupe ont un DSI et un RSSI. Les RSSI interviennent plutôt sur les incidents d’origine interne et nous alertent sur les incidents d’origine externe sur lesquels nous intervenons. Le CERT, entité transverse, appuie donc l’ensemble des CISO lors des incidents de sécurité liés au Cyber ainsi que sur les demandes d’expertises.

Exactement comme des pompiers, lorsque nous intervenons, nous prenons la main. Si votre maison brûle, ce sont les pompiers qui dirigent les opérations, pas vous. Et vous ne pourrez rentrer qu’une fois l’incendie éteint.

Lorsqu’un incident survient, qu’il s’agisse d’une alerte issue de nos systèmes de sécurité ou d’un étonnement d’un RSSI, nous intervenons. Il y a, bien sûr, beaucoup de fausses alertes. Lorsqu’il y a un incident, nous devons en analyser les causes, le processus et le déroulé ainsi qu’effectuer une rétro-ingénierie des agents utilisés.

Nous sommes dans un environnement régulé et il n’est pas envisageable que quelqu’un veuille cacher la poussière sous le tapis. Les règles et les procédures sont auditées. Les actions sont tracées. Tout est transparent. Nous sommes parfaitement solidaires au sein du groupe et si une difficulté apparaît quelque part, nous travaillons tous ensemble pour la résoudre.

Quels métiers existent au sein d’un CERT ?

Le CERT héberge de nombreux métiers que l’on peut regrouper en quelques familles.

En premier lieu, il y a l’analyste CERT. Son rôle est de recevoir le signalement initial et de le qualifier : qui est touché, quelle est la gravité, quelle est la nature de la menace… Il va également traiter des incidents courants.

L’analyste forensic [analyste en criminalistique, NDLR] va analyser les postes de travail, les serveurs, la téléphonie, etc. afin de définir précisément ce qui s’est passé.

Ensuite vient l’analyste Threat Intelligence [expert en renseignement sur la menace, NDLR] qui va chercher la source de la menace effective ou, à titre préventif, potentielle (hacktivistes, cybercriminels mafieux…). Son action comprend des phases de renseignements sur source ouverte (OSINT).

Bien entendu, il existe aussi l’analyste vulnérabilité. Son rôle est de qualifier les risques (potentiels ou avérés) sur les composants logiciels et d’alerter les équipes nécessaires. Il contribue aussi au contrôle du déploiement des correctifs.

Enfin, l’analyste DevSecOps intervient sur l’ensemble des incidents pour mettre à disposition un outillage précis par rapport au contexte de la menace et au besoin. Par exemple, il a réalisé une plateforme d’échange d’indicateur de compromission avec les autres CERT.

Quelles formations sont suivies par ces différents collaborateurs ?

Les formations données aux collaborateurs du CERT relèvent d’abord des programmes du SANS Institute sur la réponse à incidents, le forensic et la Threat Intelligence. Nous suivons également des formations comme Transit I et II par Olivier Caleff ainsi que celles des éditeurs de solutions de sécurité. L’ensemble des collaborateurs passe les certifications associées.

La pénurie des compétences est importante dans les métiers de la cybersécurité. Comment gagnez-vous la guerre des talents ?

Je suis assez allergique aux termes de « guerre des talents » et même de « talents ». Nous avons des besoins en matière de collaborateurs ayant des profils rares sur le marché. En amont de notre entretien, j’ai demandé à mes collaborateurs ce qui les motive. Contrairement à ce que beaucoup de gens croient, le salaire n’est pas en premier. Pour commencer, il faut être clair sur les missions (par exemple, nous ne réalisons pas d’offensif) afin de recruter le bon profil, le bon candidat. Il faut être à l’écoute des candidats pour ne pas créer une déception.

Nous rejoindre est avant tout une opportunité pour un futur collaborateur d’entrer dans un groupe international qui lui donnera les moyens de ses ambitions au niveau professionnel. Nous finançons des formations certifiantes onéreuses pour qu’il ait un niveau de compétences reconnu. Et nous garantissons à nos collaborateurs des moyens pour leurs missions (avec un vrai budget, un ordinateur bien équipé…). De plus, nous offrons une mobilité au sein d’un groupe de quatre-vingt-dix entreprises. Enfin, oui, il faut la bonne rémunération, ni excessive ni trop basse.

Pour certains RSSI, une fraude comme une « fraude au président » ne relève pas de leur responsabilité car elle n’est pas liée à la cybersécurité. Quelle est votre opinion ?

Je ne partage pas cette approche. C’est une erreur de dire qu’une fraude n’est pas le sujet d’un CERT ou du RSSI. En effet, l’informatique sera un moyen utilisé par le criminel. Il faut donc enregistrer, analyser et expertiser ce qui s’est passé. Pour mener les investigations, il faut des spécialistes. Le criminel va utiliser des méthodes d’ingénierie sociale qui vont passer par l’informatique (mails de phishing…).

Une fraude reste une fraude, elle concerne toute l’entreprise. CERT et RSSI inclus.

Pour terminer, quels sont vos défis à relever actuellement ?

Bien partager les informations entre CERT reste un défi. Le CERT du Groupe Crédit Agricole fait partie des associations professionnelles qui regroupent au niveau mondial les différentes équipes de réponse à incidents comme le FIRST, la TF-CSIRT, l’InterCERT Bancaire et, bien sûr en France, InterCERT France. Les équipes d’entreprises différentes (même concurrentes) se parlent sans compétition. Nous savons tous qu’un incident qui touche l’un touchera les autres sous peu. Autant tous travailler ensemble pour résoudre les problèmes. Au niveau du secteur bancaire, c’est une attitude bien mature. Dans d’autres domaines, c’est plus compliqué. En particulier dans le secteur de la défense où tout est vite classifié…

Plus spécifiquement pour le CERT Credit Agricole, il s’agira d’obtenir la qualification PRIS [Prestataire de Réponse à Incident de Cybersécurité] de l’ANSSI d’ici 2024.