Christophe Vannier - Carrefour Banque : « Le RSSI doit discuter de plus en plus avec les métiers »

Sur la feuille de route de Christophe Vannier, RSSI de Carrefour Banque, on trouve la mise en conformité DORA et la sécurité des accès à l’espace client. Explications pour Silicon.

Quelle est la place de la DSI dans cette filiale bancaire du groupe Carrefour ?

Christophe Vannier – Carrefour Banque compte près de 2000 salariés, en incluant les employés internes et les prestataires externes. La DSI est indépendante de celle du groupe, car les exigences sont distinctes de celles de la grande distribution, mais l’intégration est de plus en plus forte avec les activités de retail. Notre informatique est largement externalisée, en cloud hybride, avec du cloud privé pour nos applications critiques et des applications encore exécutées sur nos propres sites.

La conformité réglementaire vous préoccupe-t-elle particulièrement cette année ?

Christophe Vannier – La culture digitale se développe beaucoup dans le groupe Carrefour. La difficulté tient à la fois aux applications transverses du groupe et parallèlement aux défis de résilience et de continuité d’activités imposées par le règlement DORA, dont la mise en application est prévue pour la mi-janvier 2025. Je travaille sur cette mise en conformité depuis 2019 concrètement.

Il s’agit d’une transposition légale de NIS2 pour le secteur financier. Lorsqu’on a beaucoup d’outsourcing, le pilier 4 du règlement fait transpirer de nombreux RSSI. Il impose une supervision des prestataires cloud et de revoir nos contrats, pour vérifier les plans de sortie et notre stratégie de reprise d’activités en cas d’incident de cybersécurité.

Quels sont les clouds publics que vous avez retenu ?

Christophe Vannier – Principalement Microsoft Azure et Google Cloud Platform. Nous sommes très connectés avec Google, partenaire stratégique du groupe. À présent, j’ai l’impression que des possibilités de convergence existent, entre ces deux hyperscalers pour le moins. Nos applications cloud privé s’appuient, quant à elles, sur des hébergeurs souverains, de proximité.

Comment avez-vous renforcé votre traçabilité numérique ?

Christophe Vannier – Nous nous sommes rendu compte fortuitement de connexions suspectes sur l’espace client, sur des volumétries de clients assez importantes. Or, nous étions incapables de déterminer leur provenance. Nos recherches nous ont permis d’identifier un robot externe lancé depuis une machine MacOS.

Début 2023, la mise en place du logiciel Bot Defender de Human Security nous a permis de confirmer l’origine des sessions ; un agrégateur bancaire avait changé de nom et ne s’annonçait pas lors de ses connexions. Nous avons pu améliorer la granularité de notre filtrage.

Grâce à la géolocalisation, nous bénéficions maintenant d’une meilleure visibilité de tout ce qui se connecte chez nous. La plateforme Bot Defender nous aide à filtrer finement les accès distants, en mode préventif et a posteriori. Très peu d’actions correctives étaient menées auparavant, en cas d’alertes. Dès la phase de tests de la plateforme, nous avons pu détecter des pénétrations récurrentes inhabituelles, tracer les informations personnelles sortantes et déployer nos propres règles de filtrage.

Comment, selon vous, évolue le rôle de RSSI ?

Christophe Vannier – La sécurité reste une activité transverse. Le RSSI doit discuter de plus en plus avec les métiers, par exemple pour bien comprendre une fraude documentaire, puis avancer une solution pertinente. Il doit conserver son rôle de conseil, aider ses collègues à ne pas buter sur des choses basiques.

Les systèmes de sécurité doivent rester discrets et parallèlement, ils doivent être partagés par le plus grand nombre pour être efficaces. Plus que jamais, nous devons soigner nos plans de reprise d’activités, car des incidents de sécurité peuvent toujours affecter les systèmes d’un prestataire cloud, fût-il hyperscaler, et exiger plusieurs jours de réparation.

Quel a été votre parcours professionnel jusqu’à Carrefour Banque ?

Christophe Vannier – Architecte de formation, je travaille dans l’informatique depuis 1988 et dans la cybersécurité depuis 1995. J’ai côtoyé plusieurs secteurs d’activités, l’intégration de solutions d’identité numérique chez Sagem Sécurité, puis le domaine de la santé et celui de la banque et de l’assurance. J’ai notamment été responsable de la sécurité opérationnelle d’AG2R La Mondiale pendant quatre ans, avant d’entrer chez Carrefour Banque comme RSSI en 2018.

Lire aussi : Comment AT&T a payé une rançon pour le vol de ses données