Quelle est la spécificité de la cybersécurité à la Banque de France ?
Chaque entreprise a sa culture par rapport à la sécurité. La banque de France est une forteresse, avec une culture de la sécurité très forte, quasi génétique, parce qu’une Banque Centrale représente la sécurité, la notion de confiance. Un piratage de l’un de nos sites, même s’il s’agit d’informations publiques, est un problème. Il y a quelques années, un portrait d’Anonymous a été publié sur une page d’un site d’information de la Banque de France destinée au grand public et aux étudiants. Le fait que la Banque de France ait pu être piratée représente un problème au niveau de l’image. De plus, la Banque de France recèle de vrais secrets d’État, ce qui n’est pas le cas des banques classiques. Elle gère les comptes de la DGSE, tout ou partie des réserves de certains États étrangers, auxquels elle applique des taux d’intérêt… Ces éléments relèvent de la diplomatie. Autre exemple : les boîtes aux lettres des participants des G10 et G20, parmi lesquels le Gouverneur de la Banque de France, qui en est co-organisatrice, ont l’habitude d’être ciblées par des attaques quelques jours avant ces réunions. Il y a donc de vrais risques forts et un risque d’image important pour la Banque de France.
Quelles sont les attaques qui la visent et comment s’en prémunir ?
Nous avons cette culture forte de la sécurité et nous y mettons des moyens. Nous détectons les attaques en espérant que ce soit avant qu’elles ne réussissent et nous nous en protégeons. Chaque mois, il y a des centaines de tentatives d’intrusion dans le système d’information de la Banque de France, parmi lesquelles deux ou trois sont des attaques sérieuses qui nécessitent l’activation d’une cellule de crise. Les attaques diverses viennent en majorité des hackers standard, comme ceux qui attaquent des gouvernements par défi, mais elles peuvent être beaucoup plus structurées et ont de plus en plus souvent des visées criminelles, de type financières ou mafieuses.
Nous avons deux équipes de contre hackers, d’un total d’une quinzaine de personnes : une Blue Team, qui défend le système d’information des intrusions, et une Red Team, qui attaque le système de la banque pour tester sa capacité de défense et qui fait des tests d’intrusion chez nos fournisseurs. Nos hackers sont motivés et ont un haut sens moral, se considérant, dans une terminologie très « Star Wars », comme étant « du bon côté de la force » ! Ils font aussi une veille de ce qui se passe sur le dark web, véritable marché d’informations parallèle, et en font d’ailleurs un compte rendu hebdomadaire intéressant et humoristique.
Avec quels effectifs travaillez-vous ?
Sur les 12 500 personnes qui travaillent à la Banque de France, 1 800 sont dans l’informatique, ce qui est élevé, car nous travaillons aussi pour des communautés extérieures : l’État français, l’ACPR – qui est adossée à la Banque pour ses moyens –, la Place de Paris pour les grands fichiers d’incidents de paiement, etc. Nous sommes aussi fournisseurs de services pour l’Eurosystème et nous allons l’être de plus en plus. Les services de la Red Team de la Banque de France, par exemple, sont fournis à d’autres banques centrales. Sur les 1 800 personnes de l’informatique, 800 sont des internes, avec un effectif stable, et 1 000 sont des prestataires, car le plan de charge en constante augmentation a conduit à une externalisation massive. Or l’externalisation permet d’avoir des experts pointus sur tous les sujets. La tendance naturelle à l’internalisation des fonctions de sécurité, pour en assurer la maîtrise, peut donc être contre-productive si elle est totale ; l’externalisation d’une partie de la sécurité donne accès à des approches et à des expertises variées.
En interne, le service sécurité (Centre opérationnel de sécurité – COS) comprend une cinquantaine de personnes hautement qualifiées en compétence, qui gèrent la sécurité des accès internes. Parmi eux se trouvent les hackers des Blue Team et Red Team.
Comment est organisée la cybersécurité à la Banque de France ?
À la Banque de France, la sécurité de l’information est partagée entre, d’une part, l’OI (Organisation et information), qui comprend un COS et qui est chargé de mettre en œuvre la politique de sécurité et, d’autre part, le RSSI, qui dépend du Contrôle général et qui définit les macrorègles de cette politique.
L’évolution de nos métiers, dont le développement des attaques, nous a amenés en 2012 à une réforme globale de l’informatique de la Banque de France. Nous avons concentré en un seul service les réponses aux cyberattaques et nous avons tout regroupé dans le COS, qui est certifié ISO 27001. Ce COS comprend un CERT (Computer Emergency Response Team), un centre d’alerte et de réaction aux attaques informatiques, le CERT-BDF, certifié « Accredited » par l’organisme international Trusted Introducer, et intégré à l’InterCERT-FR. Il existe dans le monde un nombre limité de CERT, qui composent entre eux en confiance un réseau d’information très précieux.
La protection de notre système de sécurité est organisée en « château fort », de façon périmétrique, mais de plus en plus également sur la protection des données, pour se donner plus d’efficacité et de souplesse.
La Banque de France fournit-elle services de sécurité pour l’extérieur ?
En matière de cybersécurité, nous travaillons au niveau européen, dans le cadre de l’Eurosystème, qui comporte par ailleurs un comité IT dans lequel nous sommes présents. Nous menons des actions communes avec la BCE. Nous travaillons aussi au sein d’un groupe informatique de la BRI, avec la FED, les banques centrales du Japon, de Hong-Kong, Singapour, etc. Les banques centrales les plus à la pointe en termes de cybersécurité sont, à mon avis, celles des États-Unis, de France, d’Allemagne et d’Angleterre.
Nous apportons des tests d’intrusion pour plusieurs banques centrales nationales, dans et en dehors de l’Eurosystème. Nous fournissons des applications, seuls ou en commun avec d’autres banques centrales, comme Target 2 et Target 2 Securities qui sont très connues dans le monde bancaire, pour l’ensemble des 19 autres pays. En matière de sécurité, nous jouons un rôle particulier puisque c’est la Banque de France qui fournit en mode Saas le service de droit d’accès (Identity Access Management – IAM) qui permet de gérer les requêtes pour aller dans les applications. Ce service compte 25 000 utilisateurs, pour une vingtaine d’applications.
Qu’en est-il du cloud à la Banque de France ?
Aujourd’hui, le cloud est une tendance générale. Pour des raisons de sécurité, en tant que banque centrale, nous aurions plutôt tendance à nous en méfier. Nous possédons deux data centers en propre, que nous utilisons en priorité. Notre politique en matière de cloud est cependant évolutive et mixte. Dans le cadre de notre politique d’offre envers les autres banques centrales européennes, nous offrons des services de ce type. Et nous avons le projet à terme, d’ici une dizaine d’années, de disposer d’un cloud de banques centrales mis en place avec les autres grands pays européens, tels l’Allemagne et l’Espagne, avec qui nous coexploitons déjà des applications. Notre modèle actuel est celui d’un cloud privé de Banque de France, mais il devient hybride et peut être associé au cloud public lorsqu’il y a des besoins ponctuels de grosses capacités de stockage. Ce cloud hybride deviendra naturellement un cloud Eurosystème entre les grandes banques centrales nationales.
La cybercriminalité représente-t-elle un risque systémique pour la Banque de France ?
Oui, nous ne sommes en cela pas très différents de toutes les autres entreprises. Aujourd’hui, la sécurité est orthogonale avec le numérique et l’ouverture, qui est pourtant indispensable. Nous cherchons à ouvrir les systèmes, avec les cotations Banque de France ou le surendettement par exemple, ou la stratégie de mobilité, mais cela pose des questions de sécurité importantes. Nos vieux systèmes legacy sont dans nos datacenters, qui sont des bastions de sécurité. Mais les évolutions numériques plus récentes – comme l’accès à des informations comme les boîtes mails accessibles sur les outils de mobilité – nécessitent des aménagements en termes de sécurité. Il a fallu par exemple de longs mois pour sécuriser l’accès la messagerie interne de la Banque de France sur iPhone, et le niveau que nous demandons pour ces travaux spécifiques nous semblent faire progresser nos fournisseurs.
