LCL
Voir ce qui n'est pas à sa place
Pour notre Chief Information Officer Nicolas Coppée, il est clair que dans un contexte de centre de données, les systèmes numériques et l'infrastructure physique sont étroitement liés.
En 2025, nous avons franchi une nouvelle étape dans la professionnalisation de ce domaine en nommant Géraud de Neve en tant que Cyber Security Expert.
La gouvernance des données est une préoccupation opérationnelle centrale chez LCL
L’un et l’autre convergent : « On ne peut pas gérer ce que l’on n’observe pas activement. Une fois que l’on commence à corréler les signaux entre les systèmes, les risques qui étaient auparavant invisibles deviennent tangibles. »
Pourquoi la gouvernance des données est-elle un sujet aussi important pour LCL aujourd’hui ?
Nicolas Coppée : « C’est que sans gouvernance efficace, la sécurité, le temps de fonctionnement et les opérations avec les clients pâtiront. La gouvernance est donc indissociable de la continuité, des audits, des certifications et de la confiance du côté des clients. Les attentes réglementaires augmentent également. Les clients attendent de nous que nous démontrions notre maîtrise, et non que nous nous contentions de la revendiquer. Il faut alors de la traçabilité, de la documentation et la capacité de prouver comment les systèmes, l’accès et les flux de données sont régis. »
Géraud, vous avez rejoint LCL en 2025 en tant que Cyber Security Expert. Pourquoi cette fonction a-t-elle été créée ?
Géraud de Neve : « De nombreux contrôles existaient déjà chez LCL, mais la surveillance était fragmentée. Les pare-feux généraient des journaux, les systèmes occasionnaient des alertes, mais il restait des progrès à faire pour les examiner structurellement de bout en bout. En regardant activement, vous voyez ce qui se passe et évitez de créer des angles morts. Il y a une grande différence entre disposer d’outils de sécurité et les utiliser réellement comme instrument de gouvernance. Mon rôle est d’observer, de corréler et de remettre en question ce qui se passe dans les différents systèmes. »
Nicolas Coppée : « Nous séparons désormais la surveillance de la sécurité et l’IT au quotidien. Les équipes opérationnelles doivent agir rapidement et faire tourner les systèmes. La sécurité a besoin de quelqu’un qui puisse temporiser quand c’est nécessaire, remettre en question les décisions et examiner en permanence les risques dans l’ensemble des systèmes. »
Quelles sont, selon vous, les actions les plus importantes de LCL pour assurer une bonne gouvernance des données, la conformité et la sécurité des systèmes ?
Nicolas Coppée : « La base, c’est la visibilité. Au cours de l’année écoulée, nous avons mis en place une collecte et une corrélation centralisées des journaux. Au lieu d’enregistrements isolés par appareil, nous analysons désormais les événements sur l’ensemble des terminaux, des réseaux et des applications, pour ainsi identifier des schémas plutôt que des incidents isolés et détecter les attaques de longue durée ou de faible intensité. »
Géraud de Neve : « Ce changement est fondamental, car les attaques de sécurité externes consistent rarement en un événement unique. De petits signaux qui semblent inoffensifs en soi peuvent révéler un schéma manifeste lorsqu’ils sont mis en corrélation. La cybersécurité est aujourd’hui plus proche du contre-espionnage que de la défense traditionnelle : nous observons en permanence les comportements et recherchons ce qui n’est pas à sa place. »
À quels systèmes, groupes d’utilisateurs ou types de données ces mesures s’appliquent-elles ?
Nicolas Coppée : « Elles s’appliquent à tous, car la gouvernance ne peut pas être sélective. L’informatique d’entreprise, les technologies opérationnelles, les interfaces avec les clients et les relations avec les fournisseurs sont toutes concernées. Cela inclut ce que l’on appelle le shadow IT, à savoir des outils adoptés localement ou informellement, souvent avec de bonnes intentions, mais qui peuvent créer des angles morts s’ils sortent des cadres de gouvernance. Nous y remédions par la gestion des identités, la surveillance et des politiques d’utilisation claires. Les systèmes de contrôle et d’acquisition de données (SCADA) méritent une attention particulière, car ils contrôlent activement les systèmes physiques. Il s’agit donc d’un pont direct entre le risque cyber et le risque physique. »

Quelles sont les actions en cours et celles qui ont été récemment mises en œuvre ou étendues au cours de l’année de référence ?
Géraud de Neve : « La plus grande avancée en 2025 a été le passage entre avoir des enregistrements et les analyser activement. La surveillance continue, les règles de corrélation et les alertes font désormais partie du quotidien. »
Nicolas Coppée : « Nous avons également professionnalisé la gestion du changement. Les requêtes, les incidents, les problèmes et les changements sont désormais traités au travers de processus structurés. Cela réduit le risque que des changements multiples aboutissent à des interactions imprévisibles »
Géraud de Neve : « En parallèle, nous avons renforcé les tests indépendants. Des spécialistes externes effectuent des tests de pénétration et des examens. Les fournisseurs ne testent plus leurs propres systèmes, ce qui garantit plus d’objectivité et de fiabilité. »
Comment ces actions diminuent-elles les risques de non-conformité, de violation des données ou d’incident de sécurité physique ?
Géraud de Neve : « Les attaquants essaient de rester longtemps à l’intérieur des réseaux. Ils observent le comportement, apprennent les routines et établissent la confiance avant d’agir. La détection raccourcit ce temps de séjour. Alors qu’avant on repérait facilement le phishing parce que les mails étaient mal écrits ou mal présentés, l’IA supprime désormais presque entièrement ces signaux, et rend les attaques plus difficiles à reconnaître. »
Nicolas Coppée : « Le cryptage est donc une autre couche essentielle. Les données doivent être protégées à chaque déplacement, y compris en interne. Le “fiber tapping” se fait généralement en dehors du centre de données, ce qui fait des données en transit un sujet de risque critique. C’est pourquoi nous considérons le cryptage comme un paramètre par défaut. Sur le plan physique, nous appliquons une sécurité à plusieurs niveaux. L’accès est accordé en fonction des niveaux d’habilitation, et les actions sensibles doivent être validées par plus d’une personne autorisée. Le principe des quatre yeux est intégré parce que l’erreur humaine reste le plus grand risque. »
Quelles améliorations avez-vous observées par rapport aux années précédentes ?
Géraud de Neve : « La plus grande amélioration est la visibilité. Nous voyons maintenant ce qui se passe, et quand on sait que son activité est surveillée, on devient plus prudent et plus discipliné. »
Nicolas Coppée : « Il y a aussi un changement culturel évident, un changement d’état d’esprit. La sécurité et la protection des données sont désormais abordées dès le début des projets, lors de la conception de l’architecture et de la sélection des fournisseurs, plutôt qu’a posteriori. »
Quelles sont les ressources organisationnelles qui soutiennent ces mesures de gouvernance et de sécurité des données ?
Nicolas Coppée : « Il y a une combinaison de technologie, de personnel et d’expertise externe. En interne, nous investissons dans les compétences liées à l’architecture, aux opérations et à la sécurité. En externe, nous choisissons de travailler avec des partenaires indépendants pour les tests et les audits. L’indépendance, c’est important : un regard extérieur peut mettre au jour des choses qui auraient échappé aux équipes internes. »
Géraud de Neve : « Le fait d’avoir des rôles dédiés a aussi son importance. Il faut que quelqu’un ait le mandat et le temps de surveiller, d’analyser et de remettre en question en permanence. Sans cela, la gouvernance devient rapidement un exercice sur papier. »
Comment LCL se prépare-t-elle aux menaces futures ?
Géraud de Neve : « Les menaces continueront d’évoluer. L’IA rendra les attaques plus convaincantes et plus ciblées. Les technologies défensives évolueront également, mais elles ne remplaceront jamais totalement le jugement humain. La technologie peut aider à la détection, mais l’attention, la discipline et la pensée critique sont ce qui permet de prévenir les incidents en fin de compte. »
Nicolas Coppée : « Ce qui importe pour nous, c’est la résilience à long terme. Cela implique la diversification des systèmes et des fournisseurs, la souveraineté et des structures de gouvernance capables de s’adapter. Les choix concernant les fournisseurs, les architectures et les flux de données sont des décisions stratégiques qui affectent la résilience à long terme. »