« Nous avons cette culture forte de la sécurité et nous y mettons des moyens »

Quelle est la sp&eacute;cificit&eacute; de la cybers&eacute;curit&eacute; &agrave; la Banque de France ? Chaque entreprise a sa culture par rapport &agrave; la s&eacute;curit&eacute;. La banque de France est une forteresse, avec une culture de la s&eacute;curit&eacute; tr&egrave;s forte, quasi g&eacute;n&eacute;tique, parce qu&rsquo;une Banque Centrale repr&eacute;sente la s&eacute;curit&eacute;, la notion de confiance. Un piratage de l&rsquo;un de nos sites, m&ecirc;me s&rsquo;il s&rsquo;agit d&rsquo;informations publiques, est un probl&egrave;me. Il y a quelques ann&eacute;es, un portrait d&rsquo;Anonymous a &eacute;t&eacute; publi&eacute; sur une page d&rsquo;un site d&rsquo;information de la Banque de France destin&eacute;e au grand public et aux &eacute;tudiants. Le fait que la Banque de France ait pu &ecirc;tre pirat&eacute;e repr&eacute;sente un probl&egrave;me au niveau de l&rsquo;image. De plus, la Banque de France rec&egrave;le de vrais secrets d&rsquo;&Eacute;tat, ce qui n&rsquo;est pas le cas des banques classiques. Elle g&egrave;re les comptes de la DGSE, tout ou partie des r&eacute;serves de certains &Eacute;tats &eacute;trangers, auxquels elle applique des taux d&rsquo;int&eacute;r&ecirc;t&hellip; Ces &eacute;l&eacute;ments rel&egrave;vent de la diplomatie. Autre exemple : les bo&icirc;tes aux lettres des participants des G10 et G20, parmi lesquels le Gouverneur de la Banque de France, qui en est co-organisatrice, ont l&rsquo;habitude d&rsquo;&ecirc;tre cibl&eacute;es par des attaques quelques jours avant ces r&eacute;unions. Il y a donc de vrais risques forts et un risque d&rsquo;image important pour la Banque de France. Quelles sont les attaques qui la visent et comment s&rsquo;en pr&eacute;munir ? Nous avons cette culture forte de la s&eacute;curit&eacute; et nous y mettons des moyens. Nous d&eacute;tectons les attaques en esp&eacute;rant que ce soit avant qu&rsquo;elles ne r&eacute;ussissent et nous nous en prot&eacute;geons. Chaque mois, il y a des centaines de tentatives d&rsquo;intrusion dans le syst&egrave;me d&rsquo;information de la Banque de France, parmi lesquelles deux ou trois sont des attaques s&eacute;rieuses qui n&eacute;cessitent l&rsquo;activation d&rsquo;une cellule de crise. Les attaques diverses viennent en majorit&eacute; des hackers standard, comme ceux qui attaquent des gouvernements par d&eacute;fi, mais elles peuvent &ecirc;tre beaucoup plus structur&eacute;es et ont de plus en plus souvent des vis&eacute;es criminelles, de type financi&egrave;res ou mafieuses. Nous avons deux &eacute;quipes de contre hackers, d&rsquo;un total d&rsquo;une quinzaine de personnes : une Blue Team , qui d&eacute;fend le syst&egrave;me d&rsquo;information des intrusions, et une Red Team , qui attaque le syst&egrave;me de la banque pour tester sa capacit&eacute; de d&eacute;fense et qui fait des tests d&rsquo;intrusion chez nos fournisseurs. Nos hackers sont motiv&eacute;s et ont un haut sens moral, se consid&eacute;rant, dans une terminologie tr&egrave;s &laquo; Star Wars &raquo;, comme &eacute;tant &laquo; du bon c&ocirc;t&eacute; de la force &raquo; ! Ils font aussi une veille de ce qui se passe sur le dark web , v&eacute;ritable march&eacute; d&rsquo;informations parall&egrave;le, et en font d&rsquo;ailleurs un compte rendu hebdomadaire int&eacute;ressant et humoristique. Avec quels effectifs travaillez-vous ? Sur les 12 500 personnes qui travaillent &agrave; la Banque de France, 1 800 sont dans l&rsquo;informatique, ce qui est &eacute;lev&eacute;, car nous travaillons aussi pour des communaut&eacute;s ext&eacute;rieures : l&rsquo;&Eacute;tat fran&ccedil;ais, l&rsquo;ACPR &ndash; qui est adoss&eacute;e &agrave; la Banque pour ses moyens &ndash;, la Place de Paris pour les grands fichiers d&rsquo;incidents de paiement, etc. Nous sommes aussi fournisseurs de services pour l&rsquo;Eurosyst&egrave;me et nous allons l&rsquo;&ecirc;tre de plus en plus. Les services de la Red Team de la Banque de France, par exemple, sont fournis &agrave; d&rsquo;autres banques centrales. Sur les 1 800 personnes de l&rsquo;informatique, 800 sont des internes, avec un effectif stable, et 1 000 sont des prestataires, car le plan de charge en constante augmentation a conduit &agrave; une externalisation massive. Or l&rsquo;externalisation permet d&rsquo;avoir des experts pointus sur tous les sujets. La tendance naturelle &agrave; l&rsquo;internalisation des fonctions de s&eacute;curit&eacute;, pour en assurer la ma&icirc;trise, peut donc &ecirc;tre contre-productive si elle est totale ; l&rsquo;externalisation d&rsquo;une partie de la s&eacute;curit&eacute; donne acc&egrave;s &agrave; des approches et &agrave; des expertises vari&eacute;es. En interne, le service s&eacute;curit&eacute; (Centre op&eacute;rationnel de s&eacute;curit&eacute; &ndash; COS) comprend une cinquantaine de personnes hautement qualifi&eacute;es en comp&eacute;tence, qui g&egrave;rent la s&eacute;curit&eacute; des acc&egrave;s internes. Parmi eux se trouvent les hackers des Blue Team et Red Team. Comment est organis&eacute;e la cybers&eacute;curit&eacute; &agrave; la Banque de France ? &Agrave; la Banque de France, la s&eacute;curit&eacute; de l&rsquo;information est partag&eacute;e entre, d&rsquo;une part, l&rsquo;OI (Organisation et information), qui comprend un COS et qui est charg&eacute; de mettre en œuvre la politique de s&eacute;curit&eacute; et, d&rsquo;autre part, le RSSI, qui d&eacute;pend du Contr&ocirc;le g&eacute;n&eacute;ral et qui d&eacute;finit les macror&egrave;gles de cette politique. L&rsquo;&eacute;volution de nos m&eacute;tiers, dont le d&eacute;veloppement des attaques, nous a amen&eacute;s en 2012 &agrave; une r&eacute;forme globale de l&rsquo;informatique de la Banque de France. Nous avons concentr&eacute; en un seul service les r&eacute;ponses aux cyberattaques et nous avons tout regroup&eacute; dans le COS, qui est certifi&eacute; ISO 27001. Ce COS comprend un CERT ( Computer Emergency Response Team ), un centre d&rsquo;alerte et de r&eacute;action aux attaques informatiques, le CERT-BDF, certifi&eacute; &laquo; Accredited &raquo; par l&rsquo;organisme international Trusted Introducer, et int&eacute;gr&eacute; &agrave; l&rsquo;InterCERT-FR. Il existe dans le monde un nombre limit&eacute; de CERT, qui composent entre eux en confiance un r&eacute;seau d&rsquo;information tr&egrave;s pr&eacute;cieux. La protection de notre syst&egrave;me de s&eacute;curit&eacute; est organis&eacute;e en &laquo; ch&acirc;teau fort &raquo;, de fa&ccedil;on p&eacute;rim&eacute;trique, mais de plus en plus &eacute;galement sur la protection des donn&eacute;es, pour se donner plus d&rsquo;efficacit&eacute; et de souplesse. La Banque de France fournit-elle services de s&eacute;curit&eacute; pour l&rsquo;ext&eacute;rieur ? En mati&egrave;re de cybers&eacute;curit&eacute;, nous travaillons au niveau europ&eacute;en, dans le cadre de l&rsquo;Eurosyst&egrave;me, qui comporte par ailleurs un comit&eacute; IT dans lequel nous sommes pr&eacute;sents. Nous menons des actions communes avec la BCE. Nous travaillons aussi au sein d&rsquo;un groupe informatique de la BRI, avec la FED, les banques centrales du Japon, de Hong-Kong, Singapour, etc. Les banques centrales les plus &agrave; la pointe en termes de cybers&eacute;curit&eacute; sont, &agrave; mon avis, celles des &Eacute;tats-Unis, de France, d&rsquo;Allemagne et d&rsquo;Angleterre. Nous apportons des tests d&rsquo;intrusion pour plusieurs banques centrales nationales, dans et en dehors de l&rsquo;Eurosyst&egrave;me. Nous fournissons des applications, seuls ou en commun avec d&rsquo;autres banques centrales, comme Target 2 et Target 2 Securities qui sont tr&egrave;s connues dans le monde bancaire, pour l&rsquo;ensemble des 19 autres pays. En mati&egrave;re de s&eacute;curit&eacute;, nous jouons un r&ocirc;le particulier puisque c&rsquo;est la Banque de France qui fournit en mode Saas le service de droit d&rsquo;acc&egrave;s ( Identity Access Management &ndash; IAM) qui permet de g&eacute;rer les requ&ecirc;tes pour aller dans les applications. Ce service compte 25 000 utilisateurs, pour une vingtaine d&rsquo;applications. Qu&rsquo;en est-il du cloud &agrave; la Banque de France ? Aujourd&rsquo;hui, le cloud est une tendance g&eacute;n&eacute;rale. Pour des raisons de s&eacute;curit&eacute;, en tant que banque centrale, nous aurions plut&ocirc;t tendance &agrave; nous en m&eacute;fier. Nous poss&eacute;dons deux data centers en propre, que nous utilisons en priorit&eacute;. Notre politique en mati&egrave;re de cloud est cependant &eacute;volutive et mixte. Dans le cadre de notre politique d&rsquo;offre envers les autres banques centrales europ&eacute;ennes, nous offrons des services de ce type. Et nous avons le projet &agrave; terme, d&rsquo;ici une dizaine d&rsquo;ann&eacute;es, de disposer d&rsquo;un cloud de banques centrales mis en place avec les autres grands pays europ&eacute;ens, tels l&rsquo;Allemagne et l&rsquo;Espagne, avec qui nous coexploitons d&eacute;j&agrave; des applications. Notre mod&egrave;le actuel est celui d&rsquo;un cloud priv&eacute; de Banque de France, mais il devient hybride et peut &ecirc;tre associ&eacute; au cloud public lorsqu&rsquo;il y a des besoins ponctuels de grosses capacit&eacute;s de stockage. Ce cloud hybride deviendra naturellement un cloud Eurosyst&egrave;me entre les grandes banques centrales nationales. La cybercriminalit&eacute; repr&eacute;sente-t-elle un risque syst&eacute;mique pour la Banque de France ? Oui, nous ne sommes en cela pas tr&egrave;s diff&eacute;rents de toutes les autres entreprises. Aujourd&rsquo;hui, la s&eacute;curit&eacute; est orthogonale avec le num&eacute;rique et l&rsquo;ouverture, qui est pourtant indispensable. Nous cherchons &agrave; ouvrir les syst&egrave;mes, avec les cotations Banque de France ou le surendettement par exemple, ou la strat&eacute;gie de mobilit&eacute;, mais cela pose des questions de s&eacute;curit&eacute; importantes. Nos vieux syst&egrave;mes legacy sont dans nos datacenters , qui sont des bastions de s&eacute;curit&eacute;. Mais les &eacute;volutions num&eacute;riques plus r&eacute;centes &ndash; comme l&rsquo;acc&egrave;s &agrave; des informations comme les bo&icirc;tes mails accessibles sur les outils de mobilit&eacute; &ndash; n&eacute;cessitent des am&eacute;nagements en termes de s&eacute;curit&eacute;. Il a fallu par exemple de longs mois pour s&eacute;curiser l&rsquo;acc&egrave;s la messagerie interne de la Banque de France sur iPhone, et le niveau que nous demandons pour ces travaux sp&eacute;cifiques nous semblent faire progresser nos fournisseurs.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Banque de France

« Nous avons cette culture forte de la sécurité et nous y mettons des moyens »

Porteuse de la notion de confiance, la Banque de France oppose aux cybermenaces un très solide service sécurité informatique. Elle fournit également des services en la matière à l’Eurosystème et à d’autres pays.

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Banque de France

« Nous avons cette culture forte de la sécurité et nous y mettons des moyens »

Porteuse de la notion de confiance, la Banque de France oppose aux cybermenaces un très solide service sécurité informatique. Elle fournit également des services en la matière à l’Eurosystème et à d’autres pays.

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »