Crédit Agricole : Une approche rigoureuse pour gérer les crises

La cybersécurité est devenue un enjeu majeur pour les entreprises, et les banques, en raison de la sensibilité des données qu’elles traitent, figurent parmi les cibles privilégiées des cyberattaques. Chez Crédit Agricole, la gestion des risques IT et la cybersécurité sont au cœur d’une stratégie proactive, mêlant sensibilisation, entraînements et simulations grandeur nature.

Anticiper pour mieux réagir

Dans le cadre d’une émission dédiée à la cyber-résilience, Philippe Coué, Chief Operating Officer Cybersécurité et Risques IT du groupe, a détaillé la stratégie mise en place pour garantir la capacité de réaction face aux crises cyber. Malgré la structure fédérale de la banque, une approche globale et coordonnée a été adoptée pour harmoniser la cybersécurité à tous les niveaux du groupe.

Le Crédit Agricole mise notamment sur trois types d’actions :

• Des actions continues : campagnes de sensibilisation permanentes, formations aux bonnes pratiques et exercices réguliers.
• Des initiatives ponctuelles : comme le cyber-mois, qui met en avant des thématiques spécifiques liées à la cybersécurité.
• Des actions ciblées : par exemple, lors des Jeux Olympiques 2024, un programme spécial a été déployé pour sensibiliser les collaborateurs aux menaces accrues.

Chaque année, plusieurs centaines de milliers d’euros sont consacrées à ces efforts de sensibilisation, un budget que la banque considère comme stratégique et sanctuarisé.

Des campagnes de faux phishing pour tester les collaborateurs

L’une des méthodes les plus efficaces pour mesurer la vigilance des employés face aux menaces est l’organisation de campagnes de phishing simulées. Ces tests permettent d’évaluer le niveau de maturité des équipes et d’identifier les axes d’amélioration.

Le Crédit Agricole observe une nette progression de la vigilance de ses collaborateurs : la majorité ne tombe plus dans le piège des mails frauduleux. Pour aller plus loin, la banque envisage d’intégrer des deepfakes dans ces simulations, notamment auprès des dirigeants et des équipes les plus exposées, comme les trésoriers.

Préparer l’organisation à une crise cyber

La sensibilisation ne suffit pas : la banque met également l’accent sur l’entraînement de ses équipes à travers des exercices réalistes de gestion de crise.

Chaque année, une simulation de cyberattaque est organisée par la Banque de France, réunissant les principales institutions bancaires françaises. L’objectif est de tester la communication entre les différentes cellules de crise et de s’assurer que l’information soit clairement remontée à la direction générale, pour une prise de décision rapide et efficace.

En interne, des exercices réguliers permettent aux équipes de se familiariser avec les procédures de crise. Pour Philippe Coué, un bon entraînement passe par plusieurs éléments clés :

• Maîtriser les rôles et responsabilités : chaque membre doit savoir précisément quoi faire en cas d’attaque.
• Apprendre à communiquer sous pression : la direction générale exigera des réponses rapides et précises.
• Gérer l’après-crise : la reconstruction du système d’information peut prendre plusieurs semaines, nécessitant une planification détaillée et une rotation des équipes.

La réglementation DORA, un nouveau défi pour les banques

En parallèle, la réglementation DORA (Digital Operational Resilience Act) vient imposer de nouvelles obligations aux établissements financiers en matière de cyber-résilience. Elle inclut notamment :

• Une sensibilisation obligatoire des directions générales aux enjeux de cybersécurité.
• Un reporting accéléré des incidents majeurs aux régulateurs.
• Des exigences renforcées sur la continuité des activités après une attaque.

Cela signifie que les banques doivent être capables d’analyser rapidement les incidents et de fournir un rapport détaillé dans des délais contraints.

Un engagement long terme pour une cybersécurité robuste

Chez Crédit Agricole, la cybersécurité est bien plus qu’un enjeu technique : c’est un facteur clé de confiance pour ses clients et partenaires. En combinant formation, entraînements et conformité réglementaire, la banque mutualiste se prépare activement à faire face aux cybermenaces de demain.

Dans un contexte où les attaques deviennent de plus en plus sophistiquées, cette approche proactive pourrait bien faire la différence le jour J.