Les cyberattaques sont toujours plus nombreuses et sophistiquées. Elles représentent un risque majeur pour les entreprises, en particulier dans le secteur bancaire, très régulé, qui gère de nombreux flux financiers et données personnelles.
L’avènement des nouvelles technologies a fait émerger de nouveaux usages, de l’instantanéité des actes bancaires – grâce à une expérience utilisateur digitalisée et un accès de plus en plus facilité – à la personnalisation des services. Le nombre de données produites a connu une croissance exponentielle et nos systèmes d’information (SI) sont désormais plus ouverts, pour permettre aux métiers du Groupe de dérouler leur profonde transformation digitale et encore mieux servir les clients de la Banque.
Parallèlement, la menace et les incidents liés à la cybercriminalité ne cessent d’augmenter et en particulier ceux concernant la fuite d’information. La lutte contre le vol de données est l’un des enjeux majeurs pour le groupe Société Générale dont l’objectif est de préserver la confiance de ses clients, particuliers et entreprises. D’autres fraudes, qui visent les infrastructures exposées sur internet (sites de banque en ligne, applications mobiles…), et celles qui visent les systèmes internes de la Banque, sont en croissance. Nous adressons aussi les risques induits, liés à la non-conformité et plus globalement, tout ce qui peut impacter la réputation du Groupe.
Risques informatiques
Le risque de cybersécurité est devenu l’un des risques majeurs dans la famille des risques informatiques, un sous-ensemble des risques opérationnels de la Banque.
Notre rôle de tiers de confiance nous engage à protéger les informations de nos clients, de l’entreprise et de nos collaborateurs. C’est un avantage différenciant et une responsabilité pour la Banque qui dédie 650 millions d’euros sur 3 ans à la cybersécurité.
Dans ce contexte, nous mesurons les risques de cybercriminalité croissante et les plaçons au cœur de nos préoccupations, afin de protéger nos clients, leurs données et nos SI.
L’avancement de la stratégie « Sécurité de l’information et cybersécurité » fait ainsi l’objet d’un suivi régulier par la Direction générale et le Conseil d’administration du Groupe.
Le Responsable de la sécurité des SI (RSSI) du Groupe reporte directement au directeur des Ressources et de la transformation numérique du Groupe et fonctionnellement au directeur de la Sécurité du Groupe, tous deux membres du Comité de direction du Groupe. La direction de la Sécurité Groupe a été créée en 2018 pour assurer la coordination des actions en termes de sécurité de l’information, sécurité des personnes, Business Continuity Management et gestion de crise au niveau du Groupe pour l’ensemble des métiers de la Banque.
Par ailleurs, nos équipes Sécurité des SI sont systématiquement impliquées dans les revues des risques pour chaque nouveau produit, solution, traitement ou activité, notamment en lien avec la réglementation RGPD.
Une filière dédiée à la sécurité des SI
Plus globalement, nous travaillons étroitement avec les régulateurs sur les sujets de sécurité des SI (ACPR, BCE, ANSSI, FED, FCA, HKMA, MAS…) et nous auditons régulièrement nos fournisseurs et partenaires en fonction de la criticité des services. Dans le cadre de la stratégie cloud du Groupe, les équipes de sécurité sont très impliquées, avec notamment des briefings de conformité réguliers menés avec les fournisseurs de cloud public, partenaires du Groupe.
Nous avons mis en place, depuis plus de 10 ans, une filière dédiée à la Sécurité des SI, composée de plusieurs centaines de personnes réparties dans l’ensemble des entités du Groupe. Elle définit la stratégie Sécurité du Groupe et s’assure que celle-ci est bien déclinée dans les différentes entités. L’ensemble des dispositifs de lutte contre la cybercriminalité s’appuie sur la prévention, la protection, la détection/surveillance, la réaction, la reconstruction et la sensibilisation des clients et des collaborateurs. Nos équipes assurent un suivi et conseillent les Service Units et Business Units du Groupe dans la mise en œuvre de leurs programmes dédiés à la sécurité des SI.
Ces programmes ont pour objectifs de lutter contre la fraude interne ou externe, de lutter contre la fuite d’information et protéger les informations sensibles, et d’assurer la disponibilité des infrastructures (au travers de scans menés régulièrement) et applications (revue des codes de sécurité) de la Banque. La sensibilisation, régulière, à la sécurité des SI et à la culture Risques de l’ensemble des collaborateurs et partenaires reste essentielle.
CERT et SOC
Notre CERT (Computer Emergency Response Team) interne a été accrédité par l'organisation mondiale FIRST (Forum of Incident Response and Security Teams) en 2009, une première pour une entreprise française. Cette équipe opérationnelle est chargée de prévenir et d'intervenir sur les incidents de sécurité impactant le Groupe : traitement des incidents, réponse aux incidents, surveillance et veille technologique sécurité. Le CERT analyse les incidents de sécurité du SI et intervient dans leur résolution, analyse les menaces de cybercriminalité, informe les acteurs concernés, propose des solutions correctives et réduit le risque. Il repère les vulnérabilités logicielles et matérielles constituant une menace pour le SI et en informe les responsables. Enfin, il fournit une veille technologique sécurité avancée.
Notre SOC (Security Operations Center), qui contrôle les usages internes du SI, est capable d’analyser plus de 100 000 événements par seconde et s’appuie notamment sur les capacités offertes par l’Intelligence Artificielle.
Formation, prévention et sensibilisation
Nos métiers évoluent et s’adaptent aux technologies et aux nouvelles techniques des attaquants. Nous nous appuyons sur ces nouvelles technologies pour développer des solutions autour de l’intelligence artificielle et du Big Data, de façon à être à la pointe pour contrer les menaces (élaboration de scénarios d’attaques par exemple). Nous avons un lien fort avec l’écosystème innovant en matière de cybersécurité et nous organisons depuis 3 ans les Banking Cybersecurity Innovation Awards, créés en partenariat avec Wavestone, afin d’identifier des start-up qui peuvent répondre à nos besoins métiers. Nous avons aussi mis en place la « Red team », une équipe qui éprouve la sécurité de nos SI exposés sur internet, en apportant une nouvelle perspective aux tests de pénétration de nos systèmes. Nos équipes bénéficient de formations internationales dédiées au sein de notre Institut Cyber.
L’une de nos missions clés est de faire prendre conscience aux collaborateurs qu’ils sont le premier rempart contre les cyberattaques : 100 % des collaborateurs du Groupe sont formés à la sécurité, avec notamment un e-learning obligatoire qui couvre plusieurs aspects de la cybersécurité (social engineering, malwares, fuite de données via les réseaux sociaux…). Nous menons aussi, plusieurs fois par an, des campagnes de prévention et de sensibilisation au phishing.
Enfin, notre filière est en permanence à la recherche de nouveaux talents : plus de 100 postes seront créés d’ici 2020. Nous souhaitons diversifier les profils et ouvrir davantage la filière aux femmes, qui ne représentent en France que 11 % en moyenne des postes en cybersécurité, comme le souligne la démarche femmes@numerique dans laquelle Société Générale est entreprise fondatrice.
La sécurité des SI est devenue un élément incontournable pour le maintien de notre compétitivité et la continuité de notre activité dans un contexte d’exigences fortes et de réglementations de plus en plus contraignantes. Nous travaillons par ailleurs sur la continuité de notre production pour éviter au maximum les incidents pour nos clients. La filière SSI apporte toute l’expertise et les solutions pour permettre de couvrir les risques métier, de satisfaire aux obligations de conformité et à la réglementation en matière de sécurité de l’information, d’anticiper les évolutions technologiques et d’accompagner le projet de transformation du Groupe.
