Olivier Baranek (Natixis) : « la cartographie des risques IT va au-delà de la cybersécurité »
Par Bertrand Lemaire | Le | Gouvernance
Natixis, filiale du groupe bancaire BPCE, a des impératifs de sécurité IT particulièrement élevés. Olivier Baranek, Head of Security, détaille ici son approche et ses enjeux.
Pouvez-vous nous présenter Natixis ?
Global Financial Services regroupe les métiers mondiaux du Groupe BPCE avec environ 14 000 collaborateurs répartis dans près de 40 pays.
Nos deux métiers sont la gestion d’actifs et de fortune au travers notamment de la marque Natixis Investment Services et la banque de grande clientèle au travers notamment de la marque Natixis Corporate & Investment Banking. Notre clientèle comprend en plus des entreprises, investisseurs et institutions financières, les réseaux Banque Populaire et Caisses d’Epargne et leurs clients.
GFS gère plus d’ 1100 milliard d’€ d’actif sous gestion et génère un PNB de 7,2 milliard d’€. Nous accompagnons nos clients dans la durée et les soutenons dans trois transitions majeures : la transition environnementale, la transition technologique et la transition sociétale.
Retrouvez Olivier Baranek à la Cyber Night
Olivier Baranek, Head of Security de Natixis Corporate & Investment Banking, est membre du jury des Trophées de la Cyber Night. Il assistera donc aux présentations des candidats le 16 octobre 2024 et à la cérémonie le 25 novembre 2024.
Comment est organisée la sécurité du système d’information ?
Très classiquement pour le secteur bancaire, nous sommes organisés en trois « lignes de défense ».
La ligne la plus opérationnelle est constituée d’équipes dans la DSI, que ce soit chez Natixis ou, pour les systèmes communs, au sein de la filiale IT du groupe BPCE, BPCE-IT.
Sous ma responsabilité, il y a la deuxième ligne de défense rattachée au secrétariat général. Nous devons contrôler la première ligne, cartographier les risques IT, construire une politique de sécurité, mettre en œuvre les contrôles pour s’assurer de l’application de cette politique. A ce niveau, nous devons mettre en exergue les risques critiques qui auraient le plus de conséquences métiers. De plus, nous avons à gérer les incidents et les crises ainsi qu’à chercher à les éviter en sensibilisant le personnel. Enfin, nous avons bien sûr à réaliser le reporting de nos actions.
Je rappelle que la cartographie des risques IT va au-delà de la cybersécurité. Nous devons traiter l’ensemble des risques technologiques. Plus que RSSI, il faut parler d’IT Risk Manager. Nous cherchons à capter tous les risques pesant sur l’IT ayant un impact sur les métiers, y compris l’absence d’application d’un patch ou la défaillance d’un tiers. Nous priorisons les actions en fonctions de la gravité des conséquences métiers car, bien évidemment, nos ressources sont contraintes.
Sans rentrer dans les détails, l’ensemble des activités des métiers repose largement sur l’informatique. Celle-ci a, de ce fait, acquis une dimension vitale. Nos systèmes sont essentiellement globaux au niveau mondial (avec quelques systèmes locaux spécifiques quand c’est nécessaire) et une partie est même mutualisée au niveau groupe (infrastructures et systèmes non spécifiques tels que la bureautique par exemple).
Enfin, la troisième ligne de défense, c’est l’Inspection Générale qui contrôle la pertinence de nos dispositifs et leur bonne application.
Vue votre activité, comment assurez-vous votre cybersécurité ?
Bien entendu, l’organisation en trois lignes de défense est une des clés.
Notre stratégie repose sur une priorisation par les risques.
Plus spécifiquement, la cybersécurité est assurée par un système de management de la sécurité qui vise à rendre cohérentes nos actions afin de garantir la continuité d’activité. Comme nous avons un modèle multi-boutique, nous n’avons pas un système unique monolithique et isolé. Nous avons par conséquent acquis la capacité à déployer une approche en cybersécurité avec des actions en proportionnalité selon la taille et la criticité de l’entité connectée concernée. Beaucoup de tiers sont connectés à nos systèmes sans que nous puissions maîtriser leur propre sécurité ou continuité d’activité. Nous mettons donc en œuvre des contrats et contrôlons la bonne application des clauses contractuelles afin de nous assurer que les services sont bien assurés de façon pérenne et sécurisée.
En cela, quel est le rôle de la réglementation ?
Historiquement, le secteur de la finance a toujours été très régulé, y compris sur ses aspects technologiques. Mais on ne met pas en œuvre une gestion des risques pour répondre uniquement au régulateur. Il s’agit bien de garantir la réduction de nos propres risques et la continuité de nos propres activités.
On peut vivre la réglementation comme une contrainte mais on peut aussi y voir un levier pour mettre en place une réelle cybersécurité. Certaines réglementations telles que DORA, par exemple, permettent aussi d’harmoniser les pratiques entre tous les pays concernés. Une présence dans quarante pays, c’est être soumis à quarante réglementations. Certes, nous ne mettons pas en place 40 dispositifs distincts mais nous veillons bien sûr à respecter les 40 contextes juridiques. DORA nous facilite la vie en uniformisant les règles sur un grand nombre de pays. Autant que possible, nous cherchons à anticiper les évolutions réglementaires voire à contribuer aux travaux préparatoires à l’évolution réglementaire, notamment auprès des régulateurs.
Comment sensibilisez-vous vos collaborateurs au sujet de la cybersécurité ?
Cette sensibilisation est un pilier fondamental de notre dispositif.
Nous communiquons les bons messages afin de faire de nos collaborateurs des relais de la cybersécurité. Il s’agit en fait, à la fois, de savoir adopter lui-même les bonnes pratiques mais aussi de savoir remonter les incidents.
Nous rappelons aux collaborateurs que les outils numériques que nous leur confions sont puissants. Ils sont nécessaires aux métiers. Mais ils ne doivent pas faire porter de risques au SI. Il faut donc que chacun fasse attention aux mails, aux clés USB…
Pour être efficace, la sensibilisation doit utiliser de multiples canaux. Pour les nouveaux collaborateurs, il y a une formation en présentiel. Il y a aussi du e-learning obligatoire. Nous communiquons sur les réseaux sociaux internes. Et, enfin, nous opérons bien sûr des tests de phishing.
La guerre des talents est-elle un sujet pour vous ?
Cette guerre des talents revêt évidemment un double aspect. D’une part, il faut attirer des candidats et recruter sur des postes ouverts. D’autre part, il faut conserver les talents.
Pour séduire les talents externes, nous développons notre marque employeur. Nous faisons aussi connaître notre groupe par une présence auprès des écoles et des universités.
Pour conserver les talents, nous avons mis en place des parcours individualisés de carrière. Et nous permettons aux collaborateurs de tester les nouvelles technologies, les innovations.
Mais, bien entendu, nous ressentons le déficit global de talents en gestion des risques et en cybersécurité.
Quels seront vos défis en 2025 ?
Dans les prochaines années, les talents resteront, je pense, un défi.
Nous devrons développer notre capacité à accompagner nos métiers dans l’adoption de nouvelles technologies en garantissant un usage éthique et sécurisé.
Consolider les fondamentaux doit demeurer une préoccupation et nous devons savoir sans cesse nous remettre en cause. Par exemple, la gestion des habilitations ou des droits d’accès.
Enfin, nous devons avoir une approche toujours plus orientée métier dans l’objectif d’améliorer la résilience opérationnelle digitale. Et cela nous occupera sans aucun doute bien au-delà de 2025.