Conciencia de los empleados de amenazas y capacitación para gestionar las crisis cibernéticas. Estas son estas acciones sustantivas que llegaron a detallar a Philippe Coué, director de operaciones cibernético de ciberseguridad y se arriesgan al Grupo Crédit Agricole, entrevistado como parte de nuestro programa Grand Théma Cio/Le Monde se dedicó a la resistencia cibernética. Esta preparación para eventos de ciberseguridad se implementa en todos los estratos de la organización dentro del grupo mutualista. "A pesar de nuestra estructura federal, tenemos una visión grupal de estos temas, a través de varios tipos de acciones", dice Philippe Coué. Las acciones de conciencia -alicionamiento son de varios tipos: ejercicios continuos llevados a cabo en acciones continuas, como la casa cibernética que organiza Crédit Agricole y que se materializa mediante un aumento en las acciones de concienciamiento de temas específicos, o incluso acciones de perforación, como las lanzadas en el momento de los olímpicos en 2024. En total, el grupo agrícola, dijo el grupo de Agricole. "Y es un presupuesto santuarizado", dijo su gerente.

La creciente madurez de los colaboradores es notablemente llevada por las falsas campañas de phishing que organizan continuamente a los equipos de ciberseguridad del banco. "Estamos tratando de tener campañas dirigidas, inscritas en un contexto tópico. Pero, en su gran mayoría, nuestros empleados ya no son capturados; su nivel de madurez ha aumentado claramente. La tasa de éxito de estas campañas de prueba disminuye, excepto para desarrollar su complejidad", dice el director operativo Cybersity y los riesgos. Este último especifica así estudiar la integración de los defectos en estas campañas ", quizás comenzando con perfiles específicos, como la alta dirección o funciones muy amenazadas como los tesoreros.»

Requisitos de Dora

Más allá de estos ejercicios dirigidos a los empleados, los bancos también llevan a su organización a superar las crisis cibernéticas. Primero a través de una simulación anual organizada por la Banca de Francia y reuniendo a toda la comunidad bancaria hexagonal. "El año pasado, se hizo hincapié en la comunicación entre las diferentes células de crisis, que corresponde bien a nuestro modelo federal y en la forma en que sintetizan la información inteligible para una gestión general, para que pueda tomar decisiones concretas", explica Philippe Coué.

Vea la entrevista con Philippe Coué (video, 13 min.)

A esto se agregan los ejercicios puramente internos, destinados a perfeccionar el entrenamiento de los equipos. "Una buena capacitación de una unidad de crisis implica el conocimiento de los interlocutores y las formas de trabajar con ellos. El objetivo es lograr un proceso de gestión de crisis dominado por los equipos, para ser eficiente en el día de D -Day. Los equipos deben usarse para comunicarse bajo presión, incluso con una gestión general que será una información precisa y reclamada. Especialmente desde que las regulaciones de Dora, relacionadas con la resiliencia de las instituciones financieras, fortalecen las obligaciones de los establecimientos en esta área, al imponer una conciencia de los departamentos generales sobre los sujetos de resiliencia cibernética y supervisando los plazos de informes para el regulador de incidentes significativos. "Lo que significa que debe poder analizar un problema y hacer que se presente muy rápidamente", dice el director de operaciones cibernético cibernético y se arriesga.

Reconstruir después de la crisis: trabajo a largo plazo

Estos ejercicios son una oportunidad para probar las dimensiones técnicas de la gestión de crisis, en particular las fases de reconstrucción después de un ataque. "Porque son los más largos", dice Philippe Coué. Más allá de la crisis, debemos continuar trabajando en modo degradado y, en paralelo, reconstruir un sistema de información, que puede llevar semanas. Por lo tanto, la gestión de crisis se extiende con el tiempo, marcada por los puntos de detención para finalmente regresar a un nivel normal. Esto significa que esta unidad de vida debe estar planificada, con cambios en los equipos involucrados y una rotación del personal.