Intégrer les compétences sécurité dans les équipes IT pour anticiper et se prémunir contre les nouvelles menaces
publicité
Sécurité : se transformer pour répondre aux nouveaux enjeux
Pour déjouer ces menaces, BNP Paribas a totalement transformé sa façon de sécuriser le SI. Prévention, détection, réaction et remédiation sont désormais les maîtres mots de cette nouvelle stratégie sécuritaire.
De l’attaque de diligence au ransomware
De tout temps, la banque est la cible favorite des malfaiteurs. Les techniques criminelles ont évolué de pair avec l’apparition des technologies. Aujourd’hui, constituer une équipe de braqueurs pour forcer les coffres d’une agence bancaire est passé de mode. Il est bien plus facile et bien moins risqué, d’utiliser des cyber-attaques pour parvenir à ses fins. Les risques IT et Cybersécurité ont atteint un niveau jamais égalé.
Les scénarii d’attaque de sites de banque en ligne, de vol massif de données, ou de prise de contrôle de systèmes centraux peuvent avoir des impacts majeurs, tant financiers que sur la réputation de l’entreprise.
Olivier Nautet, Chief Security Officer Groupe chez BNP Paribas explique : « Avec le déploiement des mobiles, de l’IoT et demain de la 5G, les surfaces d’attaque d’un SI bancaire ont cru de façon exponentielle.Sur le Dark Web il est très facile d’acheter un arsenal capable d’extorquer des fonds, aussi bien à la banque qu’à ses clients, le tout à partir d’un banal e-mail de phishing. Face à cette mutation des risques, nous devions adapter nos modèles de défense en conséquence ».
Depuis 5 ans, BNP Paribas a opéré une transformation radicale de ses techniques de sécurisation du SI, mais également de son organisation dédiée à la sécurité. C’est le framework proposé par le NIST qui s’impose comme cadre de travail utilisé dans les programmes de sécurisation engagés par les équipes IT.
Identification, Protection, Détection, Réaction, Remédiation sont désormais les maîtres mots de cette nouvelle stratégie de Cybersécurité. Les systèmes de défense périmétriques traditionnels font place à des solutions où l’on classifie les données, où l’on sécurise les endpoints (poste de travail, smartphones, …) et où l’on cartographie les flux.
Olivier Nautet précise : « Nous sommes passés du modèle du château fort à celui de l’aéroport. Les zones de protection ne sont plus les mêmes à chaque endroit du SI. Nous maitrisons le cheminement des flux, nous nous assurons qu’ils ne puissent pas être interceptés et en cas de problème, nous sommes en capacité de réagir rapidement ».
Transformer l’organisation pour mettre la priorité sur la sécurité
La transformation digitale du Groupe BNP Paribas a également permis de restructurer en profondeur la façon de traiter la sécurité. Dominique Dufresne, adjoint du Chief Security Officer Groupe détaille : « Il y a 5 ans, nous avons fait le constat qu’avoir une entité externe à l’IT en charge de la sécurité ou une gestion de la sécurité en silo au sein des équipes IT étaient deux approches vouées à l’échec. Nous avons alors décidé d’embarquer les équipes de sécurité en amont dans les projets et de les impliquer durant tout le cycle de vie ».
Un certain nombre de programmes ont été lancés intégrant des security champions dans les équipes de développement. La sensibilisation et la formation des équipes ont été renforcées aussi bien du côté du développement que du support, de façon à s’assurer de la bonne compréhension des enjeux de la sécurité by design par tous. La sécurité n’est plus vécue comme un frein mais comme une composante à part entière des nouvelles solutions déployées par le Groupe.
Dominique Dufresne ajoute : « Lorsqu’on arrive à faire prendre en compte la sécurité par les équipes à chaque étape du cycle de vie du projet, alors innovation et sécurité ne sont plus considérées comme antinomiques ».
La sensibilisation à la sécurité ne touche pas que les équipes IT, le Groupe lance également des actions dirigées vers ses clients, eux aussi de plus en plus victimes d’attaques pouvant se propager sur le SI bancaire, mais également vers ses prestataires de service, qui sont des cibles privilégiées des hackers pour pénétrer le SI des banques.
Olivier Nautet explique : « Les prestataires qui se connectent sur notre SI sont soumis aux mêmes règles de sécurité que les collaborateurs internes. Dans le cadre du programme 3rd Party Risk Management, nous avons renforcé les programmes de surveillance de certains prestataires qui ont accès à des comptes à privilège sur notre SI et nous faisons un suivi dans le temps de l’application de nos règles de sécurité ».
De nouveaux profils recherchés pour renforcer les équipes
Savoir réagir à des menaces en perpétuelle évolution nécessite d’adapter en permanence l’organisation et les compétences des équipes. Des solutions d’Intelligence Artificielle, de Machine Learning, d’analyse comportementale sont déployées par le Groupe pour renforcer l’arsenal de défense de la Banque. Une cellule de Threat Intelligence permet d’avoir une bonne connaissance des malwares qui apparaissent et d’analyser l’évolution du marché des attaques.
Dominique Dufresne explique : « Nous nous appuyons à la fois sur des ressources internes, des sociétés de service spécialisées sur le domaine de la Threat Intelligence et des organisations issues de différents marchés dans lesquels le Groupe est implanté ».
Pour renforcer les équipes en charge du SI, le Groupe a recours à une stratégie de recrutement interne, basée sur des programmes de reskilling ou d’upskilling des collaborateurs pour les former à la Cybersécurité. En parallèle, BNP Paribas recherche également des compétences en externe.
Dominique Dufresne précise : « Dans un marché en pénurie de compétences, il faut se battre pour avoir les meilleurs profils. Nous recherchons d’une part des personnes expertes sur des sujets pointus, comme par exemple la sécurité des environnements cloud. D’autre part, les profils disposant de la compétence Chef de Projet IT et ayant également une bonne compréhension du milieu et des techniques cyber sont aussi les bienvenus. Enfin, nous voulons renforcer nos équipes SOC, les analystes SOC, FORENSIC, de data scientists et de Cyber Intelligence ».
Olivier Nautet conclut : « Au sein de l’équipe, nous nous intéressons à beaucoup de produits innovants et de startups, nous faisons beaucoup d’innovation en matière de Cybersécurité. Au-delà des compétences pures, nous avons besoin de gens qui savent apprendre rapidement, car le marché de la Cybersécurité est en perpétuelle évolution ». Les postes sont à pourvoir sur Paris et dans le monde entier.
