Pour une meilleure expérience de navigation et bénéficier de l'ensemble des fonctionnalités de credit-agricole.com, nous vous conseillons d'utiliser le navigateur Edge.
Menu principal Aller au contenu Pied de page
  • Taille du texte
  • Contraste
Cybersécurité

La cybersécurité au cœur de la confiance numérique du groupe Crédit Agricole

Publié le 15 déc. 2025 - Mis à jour le 16 déc. 2025

Dans un contexte de transformation digitale accélérée, le Crédit Agricole place la cybersécurité et la maîtrise des risques informatiques au centre de sa stratégie. Avec un investissement annuel de 5 milliards d'euros dans l'informatique, en croissance de 35% sur les cinq dernières années, le Groupe affirme l'importance stratégique des systèmes d'information pour l'ensemble de ses métiers.

"Les dysfonctionnements techniques, même mineurs, sont immédiatement perceptibles et engendrent une insatisfaction significative chez nos clients. Ces attentes élevées sont directement liées au capital de confiance que nous avons construit au fil des années, constituant l'un des actifs principaux du Groupe. Le fonctionnement optimal de nos systèmes d'information représente un élément fondamental pour préserver et renforcer ce capital de confiance. " 

François Delzant Directeur Cybersécurité et Risques IT Groupe

La finalité de la cybersécurité pour le Crédit Agricole


La mission principale de la cybersécurité au sein du Groupe est double : protéger nos actifs et garantir la continuité de nos services, tout en préservant la confiance que nos clients nous accordent. Cette confiance constitue l'un des principaux actifs du Groupe.
"Notre mission pour le Groupe est de protéger nos systèmes d'information et les données de nos clients des différentes menaces qui pourraient perturber nos activités", souligne la Direction de la Cybersécurité. Ces menaces peuvent être liées à un accident, une erreur, mais aussi à des acteurs malveillants cherchant à nuire, voler des données sensibles ou s'attaquer aux actifs financiers.

 

Un écosystème d'interdépendances techniques


L'informatique d'aujourd'hui fonctionne comme un écosystème caractérisé par de nombreuses interdépendances techniques. Le Groupe est de plus en plus lié à des tiers, des fournisseurs, des partenaires et des clients. Pour maîtriser les risques associés à cet écosystème grandissant, plusieurs approches sont privilégiées :
•    Maîtriser en interne les activités clés, comme avec le cloud privé de CA-GIP
•    Contrôler rigoureusement les services externalisés
•    Assurer la réversibilité des activités confiées à des tiers
Le nouveau cadre réglementaire européen DORA vient renforcer cette approche en demandant aux institutions financières de porter la responsabilité de bout en bout de leurs chaînes de services digitaux.

 

Face à une menace cyber en constante évolution


La cybercriminalité figure au 3ème rang des risques émergents selon le rapport 2024 d'Axa sur les risques du futur. L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI) confirme une menace en augmentation constante, amplifiée par la dégradation des relations internationales.
Trois grandes familles de menaces sont identifiées pour le Groupe :
1. La cybercriminalité, attirée par l'appât du gain potentiel, principalement à travers des fraudes visant nos clients
2. L'activisme, qui cherche à perturber nos activités pour toucher à notre image et, souvent, à celle de la France
3. Les risques liés à des États, avec des tentatives d'espionnage ou de déstabilisation

 

Ces menaces s'intensifient pour plusieurs raisons :


•    Des tensions géopolitiques accrues
•    La sophistication des cybercrimes, notamment avec l'utilisation de l'IA pour des attaques d'ingénierie sociale avancées
•    L'interdépendance croissante avec l'écosystème des fournisseurs et partenaires
•    Les risques liés aux technologies émergentes comme l'IA et l'informatique quantique
En 2023, les équipes de CA-GIP ont bloqué environ 300 malwares par mois sur le parc qu'elles gèrent, illustrant la réalité d'attaques continues contre le Groupe.

 

Un dispositif complet face au risque cyber


La réponse du Groupe à la menace cyber s'appuie sur un dispositif complet décliné en quatre axes complémentaires :
1. Éviter au maximum que le problème survienne
2. Limiter l'impact en cas d'incident
3. Être prêt à gérer la crise
4. Disposer d'un dispositif de rétablissement éprouvé
"Il faut aussi être capable de gérer le problème quand il arrive, parce que le problème, il arrive", souligne la Direction de la Cybersécurité. Une gouvernance solide est également fondamentale, avec "une politique claire, des contrôles, des rôles et responsabilités bien établis, un bon niveau de reporting".
Le Groupe déploie un dispositif qui couvre à la fois des mécanismes de protection sur les outils informatiques, de détection 24/7 de toute activité suspecte, et des capacités de réaction et de rétablissement en cas de problème. Des tests permanents sont également menés pour vérifier l'efficacité des défenses et s'entraîner à réagir en cas d'incident.

 

Réglementation : contrainte ou opportunité ?


Le secteur financier est particulièrement régulé, avec pour objectif d'assurer la stabilité de l'économie française et européenne. La Banque Centrale Européenne (BCE) vérifie régulièrement la mise en œuvre correcte des réglementations à travers sa supervision.
Si ces réglementations peuvent être perçues comme des contraintes, elles constituent également une opportunité pour renforcer la sécurité du Groupe. "C'est la base du numérique de confiance", affirme la Direction de la Cybersécurité. La BCE met également en place des tests de résistance (stress tests) dans différents domaines, y compris la cybersécurité.

 

Sécurité et développement : un équilibre nécessaire


Il ne faut pas opposer sécurité et développement. Au contraire, la sécurité peut et doit être un facteur qui permet au Groupe de se développer, voire un facteur de différenciation. Les technologies, bien utilisées, permettent la plupart du temps de proposer une expérience client et collaborateur au meilleur niveau sans sacrifier la sécurité, particulièrement lorsque la sécurité est prise en compte dès la phase de conception des projets ("sécurité by design").

 

L'implication des collaborateurs et des clients


L'implication des collaborateurs est indispensable car le facteur humain est clé dans les capacités de défense. Le Groupe mène régulièrement des actions de sensibilisation innovantes (fictions sonores, mini-séries) et de formation, ainsi que des tests de faux phishing pour entraîner les collaborateurs à distinguer les emails malveillants.
Côté clients, plusieurs dispositifs d'accompagnement spécifiques existent, en particulier pour les clients PME. Les clients particuliers sont également régulièrement sensibilisés aux risques de fraude, pour adopter les bonnes pratiques "d'hygiène cyber".

 

Vers une autonomie stratégique et une souveraineté numérique


Le contexte actuel pose la question de la résilience du Groupe à plusieurs niveaux :
•    La capacité à faire face à l'amplification des risques cyber
•    La capacité à faire face à des coupures de services
•    La capacité à faire face à des défaillances de prestataires
La question centrale est celle de l'autonomie stratégique : développer et opérer des systèmes critiques avec un niveau de dépendance maîtrisé vis-à-vis des fournisseurs et de leurs propres chaînes d'approvisionnement.


Cette autonomie stratégique est importante pour deux raisons principales :


•    Vis-à-vis des clients, le Groupe doit apporter des garanties fortes en matière de protection des données et de continuité d'activité
•    Pour le Groupe lui-même, c'est une question de performance durable

 

Le Crédit Agricole souhaite monter en puissance sur la confiance numérique, c'est-à-dire garantir la sécurité, la fiabilité et l'intégrité des échanges et des données dans l'espace digital. Les sujets d'autonomie stratégique et de cybersécurité sont donc des préalables essentiels à cette ambition.
 

Si vous souhaitez exercer votre droit d’opposition au traitement de vos données personnelles à des fins de mesure d’audience sur notre site via notre prestataire AT internet, cliquez sur le bouton ci-dessous.