Ce sujet d'importance figurait à l'ordre du jour du  CSEC du 28 mars dernier...qu'en est-il exactement ?

La Banque de France détient de nombreuses données qu’elle se doit de protéger pour préserver :
 

• Son patrimoine informationnel
•  L’obligation de confidentialité et le respect du secret professionnel auxquels sont soumis ses agent
•  Les informations de nature confidentielle et sensible, y compris de nature personnelle au sens RGPD, conformément à la politique de sécurité de l’information de la Banque.

Or, le risque de fuite de ces données, en raison d’une erreur, d’une négligence, d’un acte malveillant interne ou d’une cyber-attaque, s’est fortement accru au cours de ces dernières années, devenant le risque opérationnel le plus élevé de la Banque en octobre 2023.

Les mesures actuelles de protection des données, reposent essentiellement sur le respect par les utilisateurs des règles et se révèlent insuffisantes pour éviter des fuites de données avérées à la Banque. Il est donc essentiel pour la Banque de se doter d’un outil standard de protection des données telle qu’une solution de DLP, déjà utilisée par les grandes entreprises publiques et privées depuis plusieurs années (à la BCE notamment).

La solution DLP vise à protéger les données qui seraient transmises vers l’extérieur, en contravention avec les mesures de sécurité de la Banque. Des personnels du RSI superviseront la console de remontées d’alertes et effectueront les interventions nécessaires auprès des agents ou managers concernés.

Des adresses e-mail individuelles dédiées aux activités des IRP seront créées pour les représentants du personnel n’en disposant pas encore. Les e-mails envoyés depuis cette adresse sont exclus des paramétrages DLP, tous comme les boites aux lettres communes des organisations syndicales et des CSE.

La mise en place de cet outil de supervision se fera en deux temps : un premier en phase de test permettant de s’assurer du bon fonctionnement des paramétrages mi-avril, un second pour le déploiement généralisé fin mai 2024.

Les agents et prestataires seront informés du fonctionnement du DLP et de leur droit par :

- Des actions de communication, effectuées lors de la conduite du changement menée avant la mise en
production expliquant son intérêt et son fonctionnement. Une communication écrite individuelle sera
notamment transmise à chaque agent qui devra confirmer auprès du chef d’UA qu’il en a bien pris
connaissance,
- La Politique de Sécurité de l’Information, qui sera mise à jour pour intégrer les mécanismes de protection mis en oeuvre dans le cadre du projet,
- La page du site Intranet du RSI, présentant les informations utilisateur des différentes applications du RSI,
- Le message d’avertissement en cas de détection de transmission de données à protéger.

Malgré les levées de doutes sur les interrogations que nous avions, il n’en demeure pas moins que certains aspects nous paraissent encore à définir, notamment du point de vue disciplinaire.

Les élus SNABF Solidaires et FO ont décidé de s'abstenir sur ce point de l’ordre du jour. Il n’est en effet aucunement fait mention dans le document des effectifs et de l’impact sur les conditions de travail. Si on nous a  précisé en séance qu'une ressource à 0.5 EATP répartie sur 4 personnes serait envisagée , il faut que cette ressource évolue si le dimensionnement s’avérait insuffisant.

Par ailleurs les élus ont  tenu à insister tout particulièrement sur le fait que pour limiter le risque d’attaque externe, la seule surveillance des agents ne peut se suffire à elle-même. Si la sécurité est l’affaire de tous et passe par la vigilance de chacun, la Banque de France ne peut en aucun cas faire l’économie d’actions de formation et d’informations qui devront impérativement être menées afin de préserver l’intégrité de l’Institution.

Sur le fond, l’un des risques que les syndicats  identifient  tient notamment dans la pertinence de la qualification apportée à un document : une grande vigilance est nécessaire pour qu’il n’y ait pas d’abus dans les classifications restrictives. La frontière entre sécurité et surveillance est très fine et nous ne pouvons exclure qu’un agent soit inquiété disciplinairement suite à une manipulation erronée.

Il sera également important de faire preuve d’une pédagogie renforcée car le caractère intrusif du dispositif peut avoir des effets anxiogènes.

Il est essentiel de garantir aux élus du personnel la libre expression et une confidentialité renforcée : à ce titre l’exclusion total des représentants du personnel du dispositif doit être garantie et devra rester pérenne. En règle général il est impératif que l’outil respecte les libertés individuelles de chacun et les dispositions législatives spécifiques, notamment celles en vigueur pour les lanceurs d’alerte.