Comment évaluez-vous la maturité cyber de votre supply chain ?

Crédit Agricole compte plusieurs milliers de fournisseurs qui n’ont pas la même maturité cyber. Les grandes entreprises ont anticipé et suivent les évolutions de la réglementation, comme DORA qui fixe des principes mais qui laisse une certaine liberté d’interprétation.

Avec les autres fournisseurs, nous déployons un certain nombre d’outils, nous mettons l’accent sur la contractualisation et nous menons un travail de sensibilisation avec la direction des achats groupe.

Une fois par an, nous organisons une journée de rencontre où l’on passe en revue les évolutions réglementaires. Pour certains fournisseurs de petite taille, il faut faire un travail de formation presque quotidien. Nous échangeons donc beaucoup avec les fournisseurs, au niveau du groupe et au sein des différentes entités qui ont leur propre responsabilité dans ce processus.

Dans un contexte de sophistication des menaces, qu’attendez-vous vraiment de vos prestataires ?

De la transparence. Un de nos fournisseurs a subi une petite fuite de données et a eu pour consigne de ne rien dire, c’est toujours un très mauvais signe.

On ne les audite pas pour le plaisir mais ils font partie intégrante de notre chaîne de valeur et nous avons besoin d’échanges transparents et responsables.

Des outils comme Security Rating créent une autre occasion de dialoguer avec un fournisseur et de mieux gérer le risque cyber. Avoir des échanges réguliers au-delà des phases d’appel d’offres ou de contractualisation, c’est un moyen important de sensibiliser les fournisseurs, de les aider à s’améliorer.

"Pour certains fournisseurs de petite taille, il faut effectuer un travail de formation presque quotidien” - Cyril Roger

Dans un groupe aussi fédéral que Crédit Agricole, comment coordonnez-vous les cellules de crise cyber ?

Le Groupe Crédit Agricole dispose d’une grande maturité en la matière. Nous avons mis en place des lignes de défense et des mandats très définis entre les différentes structures du groupe et les équipes centrales.

Nous avons ajusté nos dispositifs, avec comme principes clés la transversalité, des mandats explicites et un outillage suffisant mais qui ne soit pas source de complexité.

A propos de Cyril Roger

Cyril ROGER est responsable du dispositif Écosystème Fournisseurs IT du Groupe Crédit Agricole depuis 2024. Ingénieur de formation, il a rejoint la Fédération Nationale du Crédit Agricole en 2012, d’abord comme responsable Sécurité Sûreté, puis responsable du département Achats et relations fournisseurs, avant de rejoindre Crédit Agricole SA mi 2024.