Dossier

Anticiper: le mot clé pour la Sécurité

Un département. Cinq secteurs. C’est le nouveau visage de la Sécurité, département dirigé par Martin Dion. Une réorganisation qui répond à l’ampleur du parc à protéger, à la toujours plus grande transversalité des problématiques et à l’augmentation des menaces.

| Par Anne Gaudard, BCV

À découvrir dans ce dossier:

► Anticiper: le mot clé pour la Sécurité. Les explications de Martin Dion ► Le département en un organigramme ► Témoignages d'Alain Paschoud, responsable Engineering et projets sécurité, et de Mathieu Louvet, responsable Surveillance et services sécurité.

Un chiffre pour mesurer l’ampleur des besoins induits par l’évolution du cadre réglementaire et des menaces? Entre 2020 à 2024, le nombre de personnes travaillant pour le département est passé de 16 à 33. Deux fois plus de collaborateurs et collaboratrices au terme de deux réorganisations. Et la deuxième vient d’être mise en œuvre. Depuis le 1^er octobre, l’entité dirigée par Martin Dion compte cinq secteurs (voir infographie ci-dessous). «Nous sommes au service des autres. Nous sommes là pour protéger la Banque, ses employés et ses employées, sa clientèle, son image», résume Martin Dion.

Inutile de rappeler l’importance de la cybersécurité pour la BCV. «La réorganisation de 2020 a porté ses fruits. Elle a notamment permis de développer les capacités de détection et de surveillance, ainsi que de faire évoluer nos outils de réponse aux incidents, ce qui a été reconnu par des auditeurs externes et a mené à l’obtention de deux certifications ISO», relate Martin Dion. En revanche, poursuit-il, «l’évolution des besoins et du modèle d’exploitation de notre IT a rapidement montré les limites de notre modèle, édictant une nouvelle évolution».

Surface plus grande à protéger

Évoquer l’évolution des besoins revient à noter trois changements majeurs. Il cite d’abord le rapatriement au sein de la Banque du middleware et celui de l’infrastructure IT, achevés respectivement en 2021 et en 2024 (lire Convergences 74). «Nous sommes ainsi passés de quelques douzaines de systèmes sous gestion à plus de 600 serveurs, sans compter les applications et les divers logiciels de la Banque», résume Martin Dion. Autant d’éléments dont la surveillance relève désormais de la responsabilité du département.

«Nous sommes au service des autres. Nous sommes là pour protéger la Banque, ses employés et ses employées, sa clientèle, son image», résume Martin Dion, chef du département Sécurité.

«Nous sommes passés de quelques douzaines de systèmes sous gestion à plus de 600 serveurs, sans compter les applications et les divers logiciels de la Banque.»

Martin Dion

Intensifier la veille

Il en vient ensuite à l’environnement global en matière de criminalité. Si les cyberattaques explosent, les modes opérationnels des personnes lançant les attaques et les fraudes se diversifient à la même vitesse. «En Suisse, on parle d’une augmentation de 600 à plus de 2500 annonces de fraudes par semaine sur les six derniers mois. De plus, nous devons détecter et traiter au plus vite les vulnérabilités, les failles dans lesquelles les cybercriminels pourraient s’engouffrer, ce qui demande une centralisation des efforts de détection, de coordination et de suivi». Conséquence: une veille qui gagne en intensité et des réponses en rapidité.

Réglementation à respecter

À cela s’ajoute, par ailleurs, un contexte réglementaire en constante évolution qui élargit la surface de supervision. «Je citerais principalement les conséquences de la nouvelle circulaire 2023/01 de l’autorité de surveillance, la FINMA, qui fixe un cadre beaucoup plus strict pour la mitigation des risques liés à l’IT, pour la résilience des opérations critiques et pour la protection des données». Et de constater que «ces changements imposent un ensemble d’évolutions, parfois majeures, voire la mise en œuvre de nouvelles mesures à travers la Banque, tant à l’IT que dans les métiers». Et lorsque Martin Dion utilise l’expression «à travers» ce n’est pas par hasard. «La Sécurité est impliquée dans un nombre toujours plus important de projets, quels que soient les départements, sur des sujets aussi divers et variés que le cloud, la communication vidéo ou téléphonique et l’intelligence artificielle».

Réorganisation au service de toutes et tous

Si ces changements se traduisent par une profonde réorganisation pour les équipes en charge du filet protecteur tissé autour de la BCV et de son système informatique, ils visent aussi à améliorer le quotidien de l’ensemble des collaborateurs et des collaboratrices et de la clientèle. La réorganisation entérine notamment la création d’un point de contact unique pour les demandes et autres déclarations d’incidents, qu’elles proviennent de l’interne ou de l’externe. «La Sécurité assumera ainsi un rôle actif et fédérateur dans le traitement des fraudes», résume Martin Dion (voir témoignage de Mathieu Louvet ci-dessous).

"En Suisse, on parle d’une augmentation de 600 à plus de 2500 annonces de fraudes par semaine sur les six derniers mois."

Martin Dion

Autre objectif: la centralisation nécessaire des activités de veille en matière de menaces et de nouvelles technologies. La nouvelle segmentation vise aussi à regrouper la gestion des vulnérabilités dans un nouveau secteur. Centralisation encore pour tout ce qui relève de l’engineering de la sécurité, notamment pour soutenir les besoins d’évolution, un secteur qui gère un ensemble de plateformes de sécurité transverses (lire témoignage d’Alain Paschoud).

Enfin, autre atout, la réorganisation permet aux équipes d’être suffisamment dotées – en nombre et en savoir-faire – pour assurer l’ensemble de leurs activités. «J’en profite pour remercier la direction générale pour ces UT supplémentaires», conclut Martin Dion qui souligne que ces changements engendrent des mouvements au sein des équipes, «mais créent aussi des opportunités pour nombre de collaborateurs et collaboratrices qui cherchent à relever de nouveaux défis dans ce domaine clé qu’est la protection de la Banque, une protection qui donne un rôle important à l’humain».

33

Le nombre de personnes travaillant désormais dans le département Sécurité

Témoignages

Alain Paschoud, responsable Engineering et projets sécurité

S’assurer de la conformité des projets

«Mon parcours est typique d’un départ très orienté technologie et développement, ayant été engagé dans une start-up pour lancer un des premiers drivers Bluetooth dans le noyau Linux de l’époque. Après plusieurs expériences, j’ai été naturellement amené à traiter des problématiques de sécurité. J’ai ainsi rejoint Kudelski Security quelques mois après sa création. Mes activités au sein de l’entité ont évolué vers le management dans le domaine de la sécurité, et en particulier de la cybersécurité. Je suis ainsi arrivé à la BCV avec des connaissances de multiples outils, techniques et standards du domaine, ainsi qu’une expérience transverse dans différentes industries.

Le secteur, dont je prends la tête, Engineering & projets sécurité, combine la gestion de projets, la gestion des plateformes et l’engineering de projets. Notre mission est de nous assurer de la conformité sécuritaire des projets transverses, mais également de prendre en main la maintenance et la stratégie d’évolution des plateformes sécurité de la Banque. Nous devons par exemple nous assurer que l’architecture des projets IT soit conforme aux normes de la Banque en matière de sécurité. Ou que personne ne puisse s’introduire dans nos outils sans avoir été dûment identifié. Autre cas à surveiller: le fait que seuls les collaborateurs autorisés ou les collaboratrices autorisées aient accès à certaines opérations dans les pages du site internet. Nous avons l’expertise pour constituer et maintenir des règles et des bonnes pratiques pour accompagner les équipes de projets dans de nombreux départements et secteurs de la Banque.

Une partie des personnes qui font désormais partie de ce secteur avaient déjà une activité similaire, mais souvent avec un côté opérationnel qui restera dans le secteur Surveillance et services sécurité. Au total, dans les prochains mois, quatre nouvelles personnes compléteront l’équipe. Nous serons alors dix collaborateurs et collaboratrices.

Le défi à court et moyen termes se situe surtout dans la formalisation de la stratégie de la Banque concernant des processus et outils clés, comme la gestion des identités. D’autres défis, plus spécifiques ceux-là, concernent la manière d’aborder les éléments sécurité dans un projet, notamment la capacité à les traiter le plus tôt et le plus efficacement possible dans le processus d’architecture, de développement ou de sélection de solutions.»

Mathieu Louvet, responsable Surveillance et services sécurité

Au service de la cybersécurité

«Je travaille depuis plus de seize ans dans le domaine de la sécurité de l’information. Mon parcours professionnel a débuté en 2007 chez Wavestone Consulting à Paris, où j’ai notamment accompagné des grandes entreprises dans la réduction des risques cyber. Mon goût pour les cultures et les langues m’a ensuite mené en Corée du Sud en 2012, chez Samsung Electronics. Et c’est toujours la cybersécurité qui m’a conduit à Lausanne en 2016. Plus précisément chez Philip Morris International. J’y ai monté et dirigé une équipe de cyberdéfense afin de renforcer la résilience de l’entreprise face aux menaces réelles.

Reprendre le secteur Surveillance et services sécurité à la BCV me permet de mettre à profit cette expérience acquise tout en explorant de nouvelles sphères de la cybersécurité. Ma motivation? Relever des défis stratégiques, notamment proposer des solutions innovantes pour faire face aux menaces cyber en constante évolution. Et ceci, avec une équipe qui sait allier engagement et professionnalisme.

Ce nouveau secteur du département reprend une partie des fonctions des anciens secteurs Sécurité Évolution et Sécurité Exploitation. À nous de piloter et maintenir les activités du service de sécurité informatique. Soit gérer les demandes d’accès aux différentes ressources informatiques et d’autres services de sécurité, veiller à l’application des politiques en la matière, garantir le service de piquet 24/24 ou encore assurer la sensibilisation des collaborateurs et collaboratrices aux risques informatiques. À ces activités s’ajoute désormais une nouvelle fonction de coordination des cas de fraudes visant notre clientèle mais aussi les collaborateurs et les collaboratrices, une activité qui s’appuie sur les moteurs antifraudes récemment implémentés. Elle consiste tant à résoudre les incidents qu’à échanger avec d’autres banques ou services antifraudes et à se montrer proactifs dans la détection des menaces.

En fait, nous sommes là pour centraliser l’ensemble du traitement des demandes de services, de la gestion des incidents et de la surveillance sécurité de notre système informatique. Nous offrons ainsi aux parties prenantes de la Banque – que ce soit les collaboratrices et les collaborateurs ou la clientèle – un service permanent de surveillance en matière de cybersécurité. Je suis fier de participer à la protection de la BCV contre des menaces cyber toujours plus sophistiquées.»