La Caisse des Dépôts allie confiance et résilience dans le cloud public
Soumise, pour partie, à la doctrine « Cloud au centre » de l’État, la Caisse des Dépôts exploite des services qualifiés SecNumCloud pour héberger ses données les plus sensibles.
Véritable institution du secteur financier français, la Caisse des Dépôts est à la fois un établissement public au service de l’État, et un acteur économique puissant de l’écosystème français au travers de ses filiales et de ses participations stratégiques. Parmi les noms très connus, on peut citer Bpifrance, La Poste, La Banque Postale, ou encore Docapost. D’autres sont moins connus comme Icade, Transdev, Emeis. En tout, le groupe compte près de 20 filiales et de nombreuses participations stratégiques.
En 2021, lorsque la circulaire « Cloud au Centre » est publiée par le gouvernement de Jean Castex, toutes les activités de la CDC liées à l’État sont concernées par le texte : « beaucoup de mandats qui nous sont confiés par l’État entrent directement dans le périmètre de la doctrine », explique Arnaud Martin, directeur des risques opérationnels cyber et contrôle de la Caisse des Dépôts.
Et cela notamment pour « les investissements au titre de l’État dans le cadre des Plans d’Investissement d’Avenir, ou encore du paiement de toutes les retraites des citoyens français qui ont effectué une partie de leur carrière dans le secteur public ». Une telle mission nécessite un système d’information fortement interconnecté afin d’échanger des données avec les autres régimes de retraite.
La version 2023 de la doctrine est venue préciser la nature des données qui peuvent aller dans le cloud public et quelles sont celles qui doivent être hébergées dans un cloud interne, soit dans un cloud immune en termes de droit extraterritorial, avec la qualification SecNumCloud associée. Ce type d’hébergement est également mis en œuvre pour les données confidentielles manipulées par la commission de surveillance de la Caisse.
Les mêmes stratégies de sécurité pour les données confidentielles du groupe et de l’État
« Environ 20 % de nos données structurées dans notre SI sont assujetties à la doctrine Cloud au centre ; ce qui signifie aussi que 80 % ne le sont pas », ajoute Arnaud Martin.
Arnaud MartinDirecteur des risques opérationnels cyber et contrôle, Caisse des Dépôts
Et cela pose la question de gérer 2 systèmes d’information séparés, avec des outils et des règles de protection des données différents ou bien d’unifier ces contraintes : « très vite, avec la DSI, nous avons considéré que c’était une ineptie de vouloir maintenir 2 systèmes en parallèle. Il nous fallait un modèle beaucoup plus englobant et avoir la capacité de définir quelles sont les données sensibles de l’entreprise, même si celles-ci ne sont pas des données sensibles de l’État. Dans un cas comme dans l’autre, il faut leur appliquer le même niveau de classification, depuis le niveau C1 public jusqu’au C4 secret ».
Pour chaque niveau de classification, un certain nombre de mesures de sécurité ont été définies. Les données éligibles à la doctrine Cloud de l’État sont les plus sensibles et sont traitées de la même manière que les données de la CDC classées C4 secret : « nous leur appliquons les mêmes contraintes, les mêmes mesures de protection de la donnée. Qu’il s’agisse des données de la Caisse des Dépôts ou des données qui sont traitées dans le cadre de ses mandats ». Le cadre de contrôle s’applique tant sur les données structurées que non structurées.
Cette démarche de classification systématique est relativement aisée pour les données structurées. Celles-ci sont identifiées dans les bases de données et à chaque table est attribué le niveau de classification adéquat : « nous avons la chance d’avoir des équipes d’analyse de risque cyber qui vont effectuer ces analyses pour chacune de nos applications. Par contre, pour les données non structurées, c’est plus complexe ».
Là, l’utilisateur devant envoyer des fichiers à un tiers doit classifier lui-même le message au bon niveau de sécurité, de même que les pièces jointes à ses emails et tous les fichiers bureautiques qu’il produit sur son poste : « nous avons des outils de protection des flux d’information sur nos réseaux, la capacité à contrôler tous les documents qui ont été marqués au travers d’une solution de DLP. Sur ces données non structurées, environ 5 % sont classifiées comme sensibles par nos utilisateurs ».
Pour les messages envoyés vers l’extérieur, le corps du message est souvent moins sensible que ne peuvent l’être les pièces jointes. Il est donc possible d’envoyer des messages en clair. Par contre, le destinataire doit cliquer sur un lien pour télécharger les pièces jointes. Ce mécanisme permet à la CDC de maîtriser la durée de rétention des fichiers sur les serveurs. Une fois que les pièces jointes ont été téléchargées, celles-ci sont effacées afin d’éviter qu’un tiers ne vienne les télécharger à nouveau si le message lui a été transféré.
Réagir lors des premiers jours d’immobilisation du SI
La stratégie de résilience de la Caisse des Dépôts met, elle aussi, à profit les capacités du cloud et notamment des services qualifiés SecNumCloud.
Les équipes SI et cyber ont notamment réfléchi à la problématique des 3 premiers jours d’une attaque cyber majeure, cette phase où l’ensemble du système d’information est mis en quarantaine et n’est plus accessible aux collaborateurs : « nous sommes revenus aux fondamentaux en nous posant la question de ce dont ont besoin les collaborateurs pendant les 3 premiers jours en cas d’immobilisation totale du système d’information ».
Si aucun responsable de la sécurité ne souhaite connaître un tel scénario, il doit songer aux premiers jours de sidération qui font suite à une attaque majeure et qui précèdent le lancement des plans de continuité d’activité (PCA). Une série de besoins de base ont été identifiés auxquels il faut apporter une réponse immédiate. Les collaborateurs doivent pouvoir continuer à échanger des emails, disposer d’une messagerie instantanée et organiser des visioconférences ou encore stocker des fichiers sur une plateforme située hors du périmètre du SI.
La téléphonie resterait disponible à la CDC car tous ses collaborateurs ont été équipés de smartphones sur un réseau tiers opérateur. Toutes ces fonctionnalités font partie d’un bundle de besoins fondamentaux liés à la résilience opérationnelle du groupe : « en cas de “grand soir” au niveau du SI, ces fonctions doivent être accessibles en mode dégradé de manière totalement déconnectée du SI ».
Arnaud MartinDirecteur des risques opérationnels cyber et contrôle, Caisse des Dépôts
Logiquement, Arnaud Martin a privilégié une solution déjà éprouvée en interne par le conseil de surveillance dans le cadre de la Data Room. Les membres du conseil peuvent communiquer et échanger des documents confidentiels sur cet espace sécurisé hébergé chez un fournisseur SecNumCloud, de même que partager des fichiers avec les filiales et partenaires de manière sécurisée : « c’est le même outil que nous allons mettre en œuvre pour notre résilience opérationnelle. Si un jour nous perdons la totalité de nos serveurs, de nos espaces de stockage internes, nous aurons la capacité d’exploiter cette plateforme ».
L’ensemble des plans d’urgence et de poursuite d’activité sont aussi stockés sur cette plateforme externe. Elle doit permettre à la Caisse des Dépôts d’assurer la sécurité des données les plus sensibles, même en cas de crise cyber majeure : « nous avons choisi de ne pas opter pour un nouvel outil à déployer en cas de fonctionnement en mode dégradé. Même si cet outil est plus facile d’accès, les collaborateurs n’auraient pas l’habitude de l’utiliser. Nous avons préféré nous caler sur un outil qui est déjà utilisé par une partie non négligeable des collaborateurs du groupe. Ceux-ci pourront jouer le rôle d’ambassadeurs auprès des autres en cas de basculement en mode dégradé ».