Consultant spécialisé en sécurité pour le cabinet Pierre Audoin Consultants, Mathieu Poujol fait actuellement, pour le compte du gouvernement, un audit sur l’écosystème français. Il fait un point sur la sécurité informatique des banques françaises : « Nous poussons depuis longtemps une vision holistique des problèmes de sécurité. Il y a un lien assez fort entre la sécurité informatique et la sécurité physique. » Concrètement, cela signifie, par exemple, ne pas mettre son SOC* dans les mêmes bâtiments que le reste du service informatique. Or, en France, cette façon de penser sa sécurité est loin d'être automatique et seul un data center du Crédit Agricole, situé dans l’est de la France, en appliquerait tous les principes. « Avec les autres EIV
[1]
, les banques françaises sont en Europe à un assez bon niveau de sécurité, du moins pour les banques dotées d’un grand réseau. Dans les plus petites structures, cela se dégrade assez rapidement. » Pour lui, comme pour beaucoup d’autres, « il faut passer d’une sécurité “noix de coco”, aux défenses extérieures solides et au cœur mou, à une sécurité “mangue”, pour permettre aux développeurs tiers d’accéder aux API* sans accéder aux données sensibles directement. Il faut reprendre la problématique par le bon bout : classifier les données, regarder les processus et sécuriser ce qui est nécessaire. La problématique pour les grandes entités bancaires est de trouver les compétences humaines nécessaires. Nous allons de plus en plus rapidement vers des services managés pour la sécurité, avec l’apparition de solutions de services managés dédiés par métier. »
1
Certaines grandes banques sont considérées comme des Établissements d’importance vitale (EIV) pour la sécurité nationale. Leurs obligations en matière de sécurité informatique sont consultables à l'adresse http://www.ssi.gouv.fr/publication/publication-du-decret-n-2015-351-du-27-mars-2015-relatif-a-la-securite-des-systemes-dinformation-des-operateurs-dimportance-vitale/
