On vous donne la parole !
« Participer au GT nous donne le sentiment de contribuer à l’élaboration de l’état de l’art de la Cyber Résilience sur le marché français »Cédric Blaisin, Responsable Résilience chez CDC Informatique
Retour
Cédric Blaisin est Responsable Résilience, à la Direction Sécurité, Architecture & Stratégie Technologique de CDC Informatique. Membre du GT Cyber Résilience depuis 2018, il est un contributeur régulier pour les livrables, et apprécie l’esprit d’équipe du GT, au sein duquel il a pu tisser des liens professionnels.
Lorsque l’équipe résilience a été mise en place à CDC Informatique, nous avons dû bâtir une stratégie de plan de reprise d’activité quasiment à partir d’une feuille blanche, sans vraiment savoir si nous étions sur la bonne voie, si on en faisait trop, ou pas assez. D’autres collègues de CDC Informatique qui fréquentaient déjà le CRiP sur d’autres GT, nous ont convaincu de nous rapprocher du GT qui s’appelait à l’époque PRA/PCA.
Très rapidement j’ai été séduit par la facilité d’échanger avec des personnes qui travaillent sur la résilience dans d’autres entreprises, et de nous enrichir de leurs expérience. J’ai également apprécié la richesse de la littérature mise à disposition des Cripiens, par exemple le Livre blanc élaboré par François Tête, ainsi que les différentes fiches pratiques produites chaque année, qui constituent un État de l'art sur du SI français, avec beaucoup de concret, ce qui nous change des productions de cabinets de conseils internationaux bien connus.
CDC Informatique doit s'assurer que l'IT mise en place répond bien aux exigences de résilience définies. Concrètement, cela nous engage à valider les architectures déployées, et nous nous impliquons également dans les tests pour d'éprouver très concrètement cette résilience du SI.
C'était un moyen pour nous de remettre sur la table le sujet de l'externalisation des sauvegardes avec les technologies actuelles, et d’échanger avec des entreprises qui avaient déjà investigué sur le sujet, et déployé des solutions différentes de la nôtre. Cela nous a permis de prendre un peu de recul sur ce que nous avions mis en place, de voir les pistes d'amélioration possibles en nous confrontant aux expériences d’autres membres du GT.
Par rapport à un RETEX effectué lors d’une matinale CRiP, le RETEX fait au sein du GT est à mon avis beaucoup plus riche. On dispose du temps suffisant pour pouvoir rentrer sur des détails et répondre aux nombreuses questions opérationnelles posées par les participants. Je me rappelle par exemple d’une question posée sur la durée de rétention des sauvegardes sur ce sanctuaire : Nous avons dû expliquer le raisonnement qui nous avait conduit à fixer telle ou telle durée, et rapidement un débat s’est instauré où chacun expliquait sur quelles bases il s’appuyait pour déterminer cette valeur. Nous avons tous beaucoup appris. Tout cela est quasiment impossible dans un RETEX présenté sur une matinale du CRiP !
Lors de la restitution, nous avons pu dégager des orientations, comprendre jusqu'où allaient les entreprises en matière de tests. Cette étude nous a révélé des choses que nous avions imaginées et qui se sont révélées vraies, ce qui nous a rassuré sur les choix que nous allions faire en matière de stratégie de tests. Ce sondage au sein du GT a réellement apporté des éléments tangibles qui ont été mis à profit pour nos futurs exercices. Une fois de plus nous avons pu constater en réel l’esprit d’équipe qui anime les membres d’un GT, ce qui permet également de tisser des liens professionnels !
Contrairement à ce que certains membres pourraient craindre, s’engager dans la construction du livrable ne nous prend pas beaucoup de temps. Une des raisons est que tout le mérite du travail de rédaction revient à Caroline et aux pilotes. L’autre raison est que ce sont les RETEX menés lors des réunions mensuelles du GT, et les discussions qui les ont suivis, qui nourrissent peu à peu le livrable de fin d’année.
Je suis content, et même fier, de voir qu’une intervention que l’on a fait un jour durant un GT, devenienne une petite ligne dans un livre blanc. Quelque part, c’est gratifiant de constater que l’on a contribué à l’état de l’art !
Face à la multiplication des attaques, je pense qu'il va falloir diversifier les tests encore davantage.
Par exemple, nous effectuons désormais des tests granulaires, menés application par application, d'autant plus si elle est exposée à l'extérieur.
Les projets vont devoir unitairement faire leurs tests de résilience, c'est pour cela que nous avons intégré ces notions de Chaos Engineering, pour tester vraiment des incidences spécifiques. Nous regardons comment résiste l’application, comment le service va être rendu, même si une partie de l’infrastructure est indisponible. Ce sont des pratiques que nous commençons à mettre en œuvre de manière générale, en encourageant l'intégration de ces tests de manière automatisée dans le cycle de vie de chaque projet.
Je suis conscient que cette démarche n’est pas forcément adaptée à tout type ou à toute taille d'entreprise, car il faut malgré tout disposer d’un budget et pouvoir mobiliser des ressources humaines.
Je conseillerais tout de même à tous nos lecteurs d'imaginer les événements redoutés, les types de scénario d’attaques susceptibles, qu’elles soient cyber ou autre, et de concevoir les tests de résilience qui peuvent y répondre à hauteur de la taille de l'entreprise,
Un autre sujet important pour 2026, lié aussi au contexte actuel, est de nous interroger sur notre degré de souveraineté numérique, qui impactera la façon de mieux piloter sa résilience. Pour aider les entreprises à s’y préparer, un outil sera être mis à disposition des entreprises en 2026. Il s’agit de l’Indice de Résilience Numérique, ou IRN, qui se présentera sous forme de radars visuels et de rapports stratégiques pour que chaque organisation puisse se situer et agir.
La Caisse des Dépôts fait partie des pilotes pour l'expérimentation. Cela permettra de voir quel est le degré de dépendance technologique notamment vis-à-vis des grands éditeurs mondiaux, de la localisation des infrastructures, ou encore du niveau d’autonomie des compétences nécessaires au développement et au maintien en condition opérationnelle du SI.
Cédric, qu’est-ce qui vous a amené vers le GT Cyber Résilience?
Lorsque j'ai démarré mon activité sur la résilience en 2017, j'avais des difficultés à faire ma propre veille technologique sur ce thème. Le peu que je trouvais étaient des contenus trop généralistes, sans réel retour d'expérience.Lorsque l’équipe résilience a été mise en place à CDC Informatique, nous avons dû bâtir une stratégie de plan de reprise d’activité quasiment à partir d’une feuille blanche, sans vraiment savoir si nous étions sur la bonne voie, si on en faisait trop, ou pas assez. D’autres collègues de CDC Informatique qui fréquentaient déjà le CRiP sur d’autres GT, nous ont convaincu de nous rapprocher du GT qui s’appelait à l’époque PRA/PCA.
Très rapidement j’ai été séduit par la facilité d’échanger avec des personnes qui travaillent sur la résilience dans d’autres entreprises, et de nous enrichir de leurs expérience. J’ai également apprécié la richesse de la littérature mise à disposition des Cripiens, par exemple le Livre blanc élaboré par François Tête, ainsi que les différentes fiches pratiques produites chaque année, qui constituent un État de l'art sur du SI français, avec beaucoup de concret, ce qui nous change des productions de cabinets de conseils internationaux bien connus.
Y-a-t-il dans votre entreprise une organisation dédiée à la cyber résilience ? Comment est-elle traitée entre les Métiers et l’IT ?
Au sein de la Caisse des Dépôts, nous avons une Direction des Risques, et une équipe chargée du Plan d'Urgence et Poursuite d'Activité (PUPA) qui travaillent en étroite relation avec les Métiers pour identifier les activités critiques et les risques associés. Mon équipe travaille au sein de CDC informatique, qui est la filiale IT de la Caisse des Dépôts. Notre objectif est de pouvoir décliner opérationnellement ces besoins de résilience exprimés.CDC Informatique doit s'assurer que l'IT mise en place répond bien aux exigences de résilience définies. Concrètement, cela nous engage à valider les architectures déployées, et nous nous impliquons également dans les tests pour d'éprouver très concrètement cette résilience du SI.
Avez-vous déjà partagé un Retour d’Expérience au sein du GT ? Que retenez-vous de cette expérience ?
Nous avons présenté en février 2025 un retour d'expérience qui portait sur la sanctuarisation des sauvegardes en vue d'une reprise après une attaque cyber.C'était un moyen pour nous de remettre sur la table le sujet de l'externalisation des sauvegardes avec les technologies actuelles, et d’échanger avec des entreprises qui avaient déjà investigué sur le sujet, et déployé des solutions différentes de la nôtre. Cela nous a permis de prendre un peu de recul sur ce que nous avions mis en place, de voir les pistes d'amélioration possibles en nous confrontant aux expériences d’autres membres du GT.
Par rapport à un RETEX effectué lors d’une matinale CRiP, le RETEX fait au sein du GT est à mon avis beaucoup plus riche. On dispose du temps suffisant pour pouvoir rentrer sur des détails et répondre aux nombreuses questions opérationnelles posées par les participants. Je me rappelle par exemple d’une question posée sur la durée de rétention des sauvegardes sur ce sanctuaire : Nous avons dû expliquer le raisonnement qui nous avait conduit à fixer telle ou telle durée, et rapidement un débat s’est instauré où chacun expliquait sur quelles bases il s’appuyait pour déterminer cette valeur. Nous avons tous beaucoup appris. Tout cela est quasiment impossible dans un RETEX présenté sur une matinale du CRiP !
Votre participation au GT a-t-elle apporté une contribution au succès d’un projet au sein de votre entreprise ?
Oui, je pense au retour d'une étude Flash que nous avons menée au sein du GT, à la suite d’une problématique de la Caisse des dépôts, qui s'interrogeait sur les éventuelles nouvelles bonnes pratiques, en matière de multiplicité des tests. J'ai demandé à Caroline Moulin-Schwartz si l’on pouvait effectuer une sorte de sondage au sein du GT. Nous avons construit le questionnaire, et nous avons eu l’énorme bonne surprise de constater que 45 entreprises avaient répondu à ce questionnaire, dont une bonne trentaine dès le lendemain de sa diffusion !Lors de la restitution, nous avons pu dégager des orientations, comprendre jusqu'où allaient les entreprises en matière de tests. Cette étude nous a révélé des choses que nous avions imaginées et qui se sont révélées vraies, ce qui nous a rassuré sur les choix que nous allions faire en matière de stratégie de tests. Ce sondage au sein du GT a réellement apporté des éléments tangibles qui ont été mis à profit pour nos futurs exercices. Une fois de plus nous avons pu constater en réel l’esprit d’équipe qui anime les membres d’un GT, ce qui permet également de tisser des liens professionnels !
Avez-vous contribué à la rédaction d’un livrable ? Que retenez-vous de cette expérience ?
Depuis 2018, nous contribuons régulièrement au contenu des livrables, du moins à chaque fois que CDC Informatique dispose de l’expérience sur le thème du livrable de l’année. Je trouve personnellement cette démarche très gratifiante, car cela nous permet d’apporter notre pierre à l’édifice commun, et en quelque sorte de contribuer à la formalisation d’un état de l’art au sein d’entreprises et organisation françaises.Contrairement à ce que certains membres pourraient craindre, s’engager dans la construction du livrable ne nous prend pas beaucoup de temps. Une des raisons est que tout le mérite du travail de rédaction revient à Caroline et aux pilotes. L’autre raison est que ce sont les RETEX menés lors des réunions mensuelles du GT, et les discussions qui les ont suivis, qui nourrissent peu à peu le livrable de fin d’année.
Je suis content, et même fier, de voir qu’une intervention que l’on a fait un jour durant un GT, devenienne une petite ligne dans un livre blanc. Quelque part, c’est gratifiant de constater que l’on a contribué à l’état de l’art !
En matière de cyber résilience, quelles sont selon vous les principales actions à mener en 2026 ?
C’est une question délicate, car cela dépend de la taille et de l’activité de l’entreprise, et des moyens dont elle dispose pour renforcer sa résilience.Face à la multiplication des attaques, je pense qu'il va falloir diversifier les tests encore davantage.
Par exemple, nous effectuons désormais des tests granulaires, menés application par application, d'autant plus si elle est exposée à l'extérieur.
Les projets vont devoir unitairement faire leurs tests de résilience, c'est pour cela que nous avons intégré ces notions de Chaos Engineering, pour tester vraiment des incidences spécifiques. Nous regardons comment résiste l’application, comment le service va être rendu, même si une partie de l’infrastructure est indisponible. Ce sont des pratiques que nous commençons à mettre en œuvre de manière générale, en encourageant l'intégration de ces tests de manière automatisée dans le cycle de vie de chaque projet.
Je suis conscient que cette démarche n’est pas forcément adaptée à tout type ou à toute taille d'entreprise, car il faut malgré tout disposer d’un budget et pouvoir mobiliser des ressources humaines.
Je conseillerais tout de même à tous nos lecteurs d'imaginer les événements redoutés, les types de scénario d’attaques susceptibles, qu’elles soient cyber ou autre, et de concevoir les tests de résilience qui peuvent y répondre à hauteur de la taille de l'entreprise,
Un autre sujet important pour 2026, lié aussi au contexte actuel, est de nous interroger sur notre degré de souveraineté numérique, qui impactera la façon de mieux piloter sa résilience. Pour aider les entreprises à s’y préparer, un outil sera être mis à disposition des entreprises en 2026. Il s’agit de l’Indice de Résilience Numérique, ou IRN, qui se présentera sous forme de radars visuels et de rapports stratégiques pour que chaque organisation puisse se situer et agir.
La Caisse des Dépôts fait partie des pilotes pour l'expérimentation. Cela permettra de voir quel est le degré de dépendance technologique notamment vis-à-vis des grands éditeurs mondiaux, de la localisation des infrastructures, ou encore du niveau d’autonomie des compétences nécessaires au développement et au maintien en condition opérationnelle du SI.
Autres articles sur le même thème
Best of de la fiche pratique
« Stratégies de cyber-reprise dans un système d’information hybride »
Mag #30
Lire l'article
Le mot des pilotes
Les membres du GT sont unanimes pour faire évoluer leurs PCA/PRA face à ce nouveau risque cyber
Mag #30
Lire l'article
