La souveraineté numérique est-elle un sujet pour la Caisse d’Épargne Normandie ?
La souveraineté numérique comprise comme synonyme de sécurité bancaire est consubstantielle à notre activité. D’ailleurs, plusieurs dispositifs réglementaires combinés conduisent, dans les faits, à une obligation de localisation européenne pour les données sensibles, notamment dans le domaine bancaire : le RGPD (Règlement général sur la protection des données), le règlement Dora (imposant aux banques de garantir à leurs autorités de supervision un accès total aux données)… Ou encore les lignes directrices de l’Autorité bancaire européenne sur l’externalisation conduisant les banques françaises à privilégier des solutions d’hébergement opérant exclusivement sous juridiction européenne.
Quel critère prioritaire dirige le choix de l’hébergement des données numériques de la Caisse d’Épargne Normandie ?
Le premier critère est la souveraineté en France : nos données et surtout celles de nos clients ne doivent pas être ailleurs. La quasi-totalité de nos données sont hébergées dans des data centers qui nous appartiennent dans l’Hexagone, notamment en région parisienne où les data centers sont distants de plus de 30 km pour des raisons de sécurité, mais également dans le Sud Est, du côté de Castres. Et l’ensemble de nos infrastructures est interconnecté avec un réseau de fibre optique doublé qui nous est propre, ce qu’on appelle de "la fibre noire". Toutefois, quelques données périphériques peuvent être amenées à ne pas se trouver dans ces data centers : des applications utilisant des outils de communication locaux, par exemple, dont la base de données sera hébergée en France chez un opérateur possédant un bon niveau de sécurité.
Reste que les matériels ne sont pas européens…
Les matériels et les serveurs sont effectivement américains ou fabriqués en Asie. Nous n’avons pas de constructeurs d’ordinateurs en France. Le fabricant français Bull existait il y a une quarantaine d’années. Il faut trouver le meilleur équilibrage entre ce qui n’est pas négociable -la sécurité, les données- et l’appel à des technologies françaises, européennes voire d’ailleurs et maîtriser ce qu’on fait.
Quels autres critères orientent vos choix d’hébergement de données ?
La sécurité, le respect de l’environnement et, en dernier, le prix. Nous choisissions les systèmes les plus sophistiqués disponibles sur le marché en matière de sécurité, en s’appuyant sur des acteurs reconnus tels que JBM. Localement, notre RSSI (Responsable de la sécurité des systèmes d’information) fait appel, depuis début 2019, à l’entreprise YesWeHack -présente à Rouen- qui recourt à des hackers éthiques qui testent la sécurité de nos systèmes. Pour des développements de logiciels, nous faisons également appel à l’entreprise Attineos.
Comment choisir un data center plus sobre énergétiquement ?
Nous sommes sensibles à la quantité d’énergie consommée, aux technologies utilisées pour réduire la nécessité de refroidir les microprocesseurs, ainsi qu’au type d’alimentation électrique. Les serveurs qui stockent les données consomment aujourd’hui de moins en moins d’énergie, on peut donc en implanter un plus grand nombre qu’il y a une vingtaine d’années sur une même surface, ce qui revient à en climatiser beaucoup moins. Nous nous fournissons également en énergie renouvelable à base de photovoltaïque et d’éolien en contrats pluriannuels.
Quels conseils donneriez-vous éventuellement à des dirigeants de PME qui ne seraient pas sensibilisés à cet enjeu ?
Recruter quelques experts qui maîtrisent ces sujets, et systématiquement, faire appel à des sociétés de services reconnues pour définir une stratégie, connaître son niveau de risque en faisant un diagnostic. Puis, décider le niveau de risques qu’on est prêt à prendre par rapport à son activité. Enfin, tester ses systèmes régulièrement avec un dispositif tiers par des simulations. La Caisse d’Épargne Normandie gère un encours total de 43 milliards d’euros et emploie plus de 1620 collaborateurs.
