Crédit Agricole se forme à la cybersécurité avec un ancien négociateur du GIGN

Trois jours de formation intensive, un ancien négociateur du GIGN dans les salles de cours du Crédit Agricole : voilà le programme inhabituel qu'a suivi une quinzaine de cadres du groupe bancaire français. Une approche inédite pour renforcer la sécurité de la banque et se préparer aux nouvelles exigences de la réglementation européenne DORA, entrée en vigueur début 2025.

« Jusqu'à récemment, nous étions en charge uniquement de la gestion de crise cyber niveau Groupe et nous nous entrainions régulièrement en faisant des exercices de crise avec le superviseur et les différentes entités du Groupe basés sur des scénarii techniques. Notre périmètre s'est élargi à la gestion de crise IT au global et non plus uniquement cyber, et au reporting réglementaire DORA, impliquant par conséquent une charge supplémentaire et une expertise adaptée », explique Philippe Coué, Chief Operating Officer Cybersécurité et risques IT du groupe Crédit Agricole. Cette évolution s'accompagne d'une permanence 24/7 sur les incidents IT au niveau du Groupe, nécessitant un renforcement de certaines compétences au niveau des équipes.

Face à ces défis, le Crédit Agricole s'est tourné vers Inetum, entreprise spécialisée dans les services numériques et la cybersécurité. Le choix ne s'est pas fait au hasard : l'offre de formation d'Inetum est très complète. Elle intègre en particulier l'intervention d'un ancien négociateur du GIGN, élément différenciant face à la concurrence.

Pourquoi faire appel à un ancien du GIGN pour former des banquiers ?

Le secteur bancaire fait face à un risque cyber croissant. « Toutes les banques sont menacées, du fait du portefeuille clients qu’elles gèrent et des données confidentielles qu’elles manipulent et le Crédit Agricole en particulier de par son rôle de banque systémique. Si une banque de la taille du Crédit Agricole ‘tombait’, il en résulterait des impacts directs sur l'économie d’un pays voire au niveau mondial », rappelle Philippe Coué.

« Ce que je recherchais, c'était d'avoir un intervenant ancien militaire, gendarme, policier, qui puisse apporter sa vision, son expérience de crise en dehors de la banque », précise Philippe Coué. Cette expertise particulière s'inscrit donc dans une logique claire : améliorer les compétences humaines plutôt que techniques.

Organisée sur trois jours, cette formation cyber sécurité, combine plusieurs approches. Premier jour : intervention d'un expert Inetum sur les processus de réaction en cas de cyberattaque. Deuxième jour : formation dispensée par un ancien négociateur du GIGN sur la communication en situation de stress intense. Troisième jour : travail d'équipe avec une approche psychologique basée sur la méthode DISC, permettant d'identifier les profils comportementaux de chacun.

« L'expertise d'un ancien négociateur apporte des réponses en termes de gestion de crise. Les négociateurs en ont vécu des très importantes, beaucoup plus que ce que ce que l’on pourrait voir », souligne le responsable cybersécurité du Crédit Agricole. L'objectif : développer des réflexes pour gérer la montée de pression, les intervenants sur les « nerfs » et une Direction Générale forcément impatiente.

L’apport des soft skills face aux cyberattaques

Cette approche révèle une réalité méconnue de la cybersécurité bancaire. « Le but de la formation, ce n'était pas de parler de technique mais d'améliorer notre expertise humaine », insiste Philippe Coué.

Pour Romain Massari, directeur de l’entité cybersécurité d’Inetum, cette dimension humaine s'avère cruciale : « En début de formation, le client pense qu’il apprendra peu et qu'Inetum se contentera de rappeler les bases. Mais plus la formation avance, plus on se rend compte que surgissent des débats cruciaux, et que les participants ne sont pas forcément tous d'accord. C’est donc essentiel de se mettre autour de la table pour en parler. »

Ainsi, cette formation a révélé des divergences d'approche entre participants, créant « beaucoup de débats » selon Romain Massari. « Un des bénéfices obtenus a été d'avoir des discussions franches conduisant en fin de session à une cohésion renforcée, en comparaison de celle qui prévalait au début de la formation », confirme Philippe Coué.

Les retours positifs encouragent le Groupe à reproduire l'expérience. « Je pense que c'est un type de formation qui va se répéter. Le but, c'est de l'élargir, peut-être d'avoir un format un peu plus léger, mais avec un nombre de personnes plus important », anticipe-t-il.

Cette initiative illustre l'adaptation du secteur financier aux nouveaux enjeux réglementaires, dans lesquels la dimension humaine devient aussi critique que l'expertise technique face aux cybermenaces.