Lesjeudis.com : Présentez nous votre entreprise & votre activité au sein de l’entreprise en quelques mots Gilles Mawas : Au sein du groupe BNP PARIBAS, le pôle sécurité veille à ce que chaque entité qui compose le groupe ait une politique qui soit adaptée à ses contraintes règlementaires et à sa gestion du risque opérationnel –à son appétence au risque-. En clair, nous veillons à ce que chaque entité (métier ou activité) prenne les mesures de sécurités nécessaires et suffisantes pour protéger les informations vis-à-vis des vulnérabilités et des attaques dont elles pourraient-être l’objet. Lesjeudis.com : Le Système d’information de BNP PARIBAS a-t-il subit une refonte récemment ?
G.M : Il faut savoir que BNP PARIBAS n’a pas un seul et unique système d’information. Les seuls systèmes d’informations globaux concernent la consolidation comptable, la consolidation des risques, la paye pour la France…En dehors de ces domaines, chaque métier a son propre système d’information. Il y a donc finalement toujours un métier qui est en refonte de son système d’information. Lesjeudis.com : Que représentent les investissements informatiques chez BNP PARIBAS? G.M : BNP PARIBAS va dépenser cette année 2,8 milliards d’euros. Les investissements en informatiques sont en constante croissance. Néanmoins, notre Produit Net Bancaire (PNB, l’équivalent du chiffre d’affaire) nous permet un « effet de ciseau positif », c''est-à-dire que ces dépenses augmentent bien moins vite que la croissance de notre chiffre d’affaire.
Nos investissements en informatique continueront donc à croître en valeur absolue dans les années à venir, puisque nous sommes dans une logique de risque opérationnel qui vise à rendre le système toujours plus sûr dans une forte croissance des revenus. Lesjeudis.com : La sécurité des informations est indispensable pour une banque. De quelle manière intervenez-vous pour assurer la sécurité des données ?
G.M : Tous les jours, des centaines de milliers de virus sont arrêtés, des cartes bancaires sont volées, des gens tentent de détourner de l’argent et notre objectif est d’en empêcher la multiplication.
Pour la sécurité des données, l’important est de faire une analyse complète du risque attaché à chaque actif géré par la banque en y appliquant les valeurs de la banque ;
• la protection des intérêts du client, en garantissant par exemple pour un particulier la sécurité de ses avoirs,
• que la confidentialité de ses informations et de ses données personnelles soient protégées
• que la loi et les règlementations soient appliquées et suivies. Par exemple le secret bancaire, la sécurité financière,
• la stabilité du système financier par le respect du ratio COOKE de la réglementation Bâle I (ratio prudentiel qui oblige la banque à avoir des fonds propres suffisants pour faire face à une situation de crise) et la prise en compte du risque opérationnel prévu par la nouvelle règlementation Bâle II. Lesjeudis.com : Comment les employés de la BNP sont-ils sensibilisés à cette sécurité des données ?
G.M : Les employés sont sensibilisés déjà assez « naturellement » aux valeurs de la banque qui sont de préserver les intérêts du client particulier et entreprises. Mais la sensibilisation des employés passe également par la protection des intérêts de l’entreprise elle-même, c’est à dire de ses actionnaires, de sorte que les fraudes, même si elle n’impactent pas les clients, ne portent pas préjudice à la banque. Finalement, c’est défendre son entreprise que de faire preuve d’une vigilance toujours accrue sur les risques de non sécurité dans l’information !
Nous avons d’autre part une valeur éthique de plus en plus importante en étant une entreprise citoyenne concernant la lutte contre le blanchiment d’argent et le terrorisme. Dans notre activité, nous faisons donc en sorte de connaitre notre client et que la banque n’acquière que des clients de bonne réputation. Lesjeudis.com : Et vous n’avez pas de problèmes pour la sécurité avec Internet ?
G.M : Non, puisqu’à partir du moment où l’on connaît notre client et son profil d’opérations, nous pouvons détecter toute opération qui semble anormale. Internet n’est au final qu’un canal pour effectuer des opérations. Quoiqu’il en soit, il existe une multitude d’outils de lutte contre la fraude sur Internet. D’ailleurs pour nous chez BNP PARIBAS, les fraudes sur Internet sont tout à fait négligeables par rapport aux autres fraudes par ailleurs. Lesjeudis.com : Pour vous, quels sont les métiers cruciaux dans votre activité de la sécurité des données informatiques ?
G.M : Il y a deux catégories de personnes qui interviennent dans ce processus.
D’une part l’employé de banque classique, commercial ou manager, qui lui est quotidiennement en contact du client, directement ou indirectement, et qui manipule des données ou informations financières et personnelles. Pour ces acteurs, la sécurité des données est avant tout une sensibilisation et une attention de tous les jours. Certes l’informatique a des côtés positifs puisqu’on a l’impression que cela permet de protéger nos informations, mais cela peut également avoir un effet pervers, dans le sens où l’on part du principe que tout est protégé dans l’informatique. Or une petite inattention, comme laisser trainer une impression sur une photocopie peut mettre en péril la sécurité de nos données.
Les deuxièmes acteurs dont le rôle est crucial pour la sécurité des données, sont les techniciens et principalement les informaticiens. Ces derniers doivent être doublement vigilents car ils ont un contact plus direct avec l’information et le système d’information. Ce sont eux qui créent les protections. Ils doivent donc faire face à un enjeu majeur ; concevoir et/ou exploiter des systèmes d’informations qui sont les plus sûrs possibles, tout en étant exploitables. Ils doivent ainsi trouver un compromis entre l’exploitabilité, l’ergonomie et la sécurité, car à trop vouloir protéger, le risque est de rendre le système inutilisable et à l’inverse, une protection trop faible rend le système fragile. Lesjeudis.com : Recherchez-vous des candidats ? Si oui, quels profils ?
G.M : Chez BNP PARIBAS nous cherchons non seulement des profils d’informaticiens « généralistes » mais aussi des compétences spécifiques dans la sécurité des données.
Généralement, les profils recherchés seront plutôt débutants.
Dans la sécurité, nous recrutons également des débutants, mais aussi des gens expérimentés. Globalement, nous ne misons pas forcément sur des compétences bien précises en développement sur tel ou tel langage, nous sommes avant tout à la recherche de profils ayant des expériences multiples. Concernant les expérimentés d’ailleurs, nous apprécions plus particulièrement les « multi-spécialistes », c''est-à-dire des gens qui ont à la fois une compétence fonctionnelle, une compétence technique et qui sont dotés d’une flexibilité pour comprendre les enjeux de la sécurité des informations. Bien sûr, avoir des connaissances dans le domaine bancaire est un plus, mais les candidats doivent avant tout être conscients du fait que l’univers de la banque est beaucoup plus complexe que la banque de détails. |
Gilles Mawas est responsable de la sécurité de l’information pour l’ensemble du groupe BNP Paribas (Group Chief Information Security Officer) depuis 2004. Il a la charge de produire et de faire connaître politique de sécurité applicable à l’ensemble des métiers du groupe, ainsi que la mise en œuvre de la gouvernance sécurité dans toutes les opérations de la banque (informatique, informations non structurées...).
