Finance & Banking , InCyber Forum - Europe , Industry Specific

Quelle Approche Pour BNP Paribas en Matière de Transformation Numérique et Cybersécurité

Interview Avec BNP Paribas CIO Bernard Gavgani
Quelle Approche Pour BNP Paribas en Matière de Transformation Numérique et Cybersécurité
Bernard Gavgani, CIO, BNP Paribas

L'ère digitale dans laquelle nous vivons impose aux entreprises, quel que soit leur secteur d'activité, de repenser leurs stratégies de cybersécurité et de transformation numérique. BNP Paribas, l'une des plus grandes banques mondiales, n'est pas en reste. Pendant le Forum InCyber de Lille 2024, dans un entretien entre Timothee Bardet, rédacteur en chef France ISMG avec Bernard Gavgani, Chief Information Officer et membre du comité de direction, nous avons pu explorer en profondeur les initiatives de la banque en termes de Cybersécurité. Réalisée le 27 mars 2024, cette discussion révèle des stratégies clés et offre des insights précieux pour les CISO et RSSI, soulignant l'importance de la sécurité, de la maîtrise de l'innovation et de la transformation numérique.

See Also: From CNAPP to CDR: The Cybersecurity Road Ahead

La Souveraineté des Données : Un Cloud Dédié chez BNP Paribas

Le voyage de BNP Paribas vers la souveraineté des données est essentiel, compte tenu de la sensibilité des données bancaires, scrutées sous le prisme de la sécurité et de la confidentialité. Bernard Gavgani met en lumière la nécessité d'accélérer la transformation IT du groupe tout en assurant la protection maximale des données. En optant pour un cloud dédié créé sur la technologie d'IBM, en plus de son cloud privé, BNP Paribas ne s'engage pas seulement vers une adoption inexorable du cloud mais le fait d'une manière qui réduit significativement les risques opérationnels - avec une baisse de 75% des incidents signalés sur les applications migrées. Cette stratégie illustre parfaitement la nécessité d'intégrer la protection des données dès la conception du cloud, tout en garantissant une interopérabilité et une irréversibilité des données bancaires. Le choix de l'IAAS - Infrastructure as a Service - plutôt que du PAAS - Platform as a Service - reflète une volonté de contrôle et de sécurité accrue, soulignant l'importance d'une organisation sécurisée par défaut dans l'écosystème cloud.

IA et Innovation : Vers une Régulation et Séparation Stricte des Données

L'intégration de l'intelligence artificielle - IA - et de l'innovation dans les processus de BNP Paribas représente un autre axe majeur de l'entretien. Bernard Gavgani souligne l'importance de réguler la production logicielle et de fermer par défaut les accès, afin de prévenir les risques de sécurité dès la base. Aucune expérimentation ne peut être faite chez BNP Paribas en dehors de la chaîne de production logicielle. Cette approche s'étend à la maîtrise de la chaîne de DevOps, de la conception à la maintenance du software. Avec la création d'un environnement séparé d'entraînement pour l’IA, la banque établit des protocoles stricts pour la gestion des données, assurant par défaut une séparation nette entre les données publiques et privées. Ce cadre permet non seulement de répondre aux exigences réglementaires en matière de transparence et de documentation mais aussi de s'assurer que toute expérimentation reste dans les limites de la chaîne de production logicielle, évitant ainsi tout usage des données critiques.

L'IA a créé une demande de la part des métiers, qui est ensuite remontée par chacune des DSI métiers, pour lister les solutions déjà existantes et celles à développer. Chaque demande doit expliquer les buts de ces besoins en IA en amont. Puis une sandbox est mise en place pour chaque projet validé. Une fois en production, une marketplace IT regroupant les applications rend visible à tout le monde les réalisations en production. Chaque spécialiste peut ensuite demander accès à l’application de la marketplace. Enfin, point critique, les droits d’accès sont constamment monitorés et supprimés par défaut en cas de mobilité interne.

Le Changement Induit par l'IA : Un Dialogue Nécessaire Avec les Partenaires Sociaux

Le changement technologique, surtout lorsqu'il est induit par l'IA, peut soulever des préoccupations parmi les employés et partenaires sociaux. BNP Paribas a pris les devants en engageant un dialogue constructif et transparent avec les partenaires sociaux avant l'introduction de nouvelles technologies telles que Copilot. Cette démarche préventive permet de discuter ensemble de l'impact humain des innovations technologiques. En insistant sur le fait que l'IA vise à assister et non remplacer les collaborateurs, la banque tente à la fois de prendre le tournant et d’inclure tout le monde en amont. Même si Bernard Gavgani insiste sur le fait que l'IA générative n’est pas une innovation mature, loin de là, il reconnaît son potentiel pour améliorer l'efficacité au quotidien des équipes, sans pour autant négliger les implications sociales et humaines.

La Place des Femmes dans l'IT

La discussion a également porté sur l'engagement concret de BNP Paribas en faveur de la diversité, en particulier concernant la place des femmes dans l'IT. Avec près de 30% de femmes dans ses équipes IT, la banque dépasse de nombreux standards du secteur, grâce à des initiatives telles que la mobilité interne, permettant aux employées d'explorer des rôles dans l'IT avec la possibilité de retourner à leur poste précédent si souhaité. Ces politiques sont complétées par des mesures visant à encourager la présence féminine dans des postes de leadership, à travers des plans de carrière, du coaching, et des formations spécifiques. L'initiative de l'académie de la cybersécurité, en particulier, montre un retour d'expérience positif, soulignant l'importance de l'empowerment féminin dans des domaines techniques et de leadership. Par exemple l’exercice majeur de résilience effectué sur un data center, mobilisant 1000 personnes, a été conduit par une femme. De même pour les jeunes de PTECH, une école de la deuxième chance dont BNP Paribas est partenaire, le groupe propose du mentoring, des stages et une embauche potentielle.

Un Message à la Communauté des RSSI : La Sécurité est L'Affaire de Tous

En conclusion de notre entretien, Bernard Gavgani adresse un message clair à la communauté des RSSI : la sécurité ne doit pas être l'affaire d'un seul département mais de toute l'entreprise. Il souligne l'importance de la formation et de la sensibilisation à tous les niveaux, du comité de direction, qui doit être formé, aux collaborateurs dans les différents métiers, pour instaurer une culture de sécurité partagée. La nomination d'ambassadeurs de la cybersécurité, formés, au sein des différents services de l'entreprise est un exemple de cette approche collaborative. Ce message renforce l'idée que la compréhension et la gestion des risques de cybersécurité nécessitent une approche holistique, impliquant chaque membre de l'organisation.


About the Author

Timothée Bardet

Timothée Bardet

Rédacteur en Chef chez ISMG

Bardet est un serial entrepreneur dans la technologie et le digital depuis 12 ans. Il dirige actuellement Z Digital Agency, un collectif de chefs d’entreprises en charge de la croissance des entreprises sur internet de A à Z. Diplômé de masters en Business et Finance de marché, il est également passé par des entreprises de technologies de l’image, de cybersécurité et du marketing web.




Around the Network

Our website uses cookies. Cookies enable us to provide the best experience possible and help us understand how visitors use our website. By browsing careersinfosecurity.eu, you agree to our use of cookies.