Implication des collaborateurs en cybersécurité : Cas d’étude Véolia

0
138

Comment Veolia cyber-éduque ses collaborateurs avec l’aide de Wombat Security, une division de Proofpoint. 3 Questions à John Hield, Responsable Sécurité et Conformité au sein de Veolia.

Chez Veolia, quels sont les défis à relever en matière de cybersécurité et de conformité ?

Veolia est le leader global de la gestion optimisée des ressources et emploie 163 000 personnes dans le monde. La société conçoit et fournit des solutions de gestion de l’eau, des déchets et de l’énergie contribuant au développement durable des communautés et de l’industrie.

Une grande partie de l’activité est assurée par des entreprises indépendantes avec lesquelles nous travaillons personnellement pour nous assurer qu’elles comprennent la réglementation en vigueur et que leurs pratiques sont sûres et conformes.

En tant que membre de la Global Cybersecurity Team, je travaille de concert avec mes homologues du monde entier pour maintenir la réputation de leader de Veolia dans le domaine de la cybersécurité et de la conformité. Je me suis intéressé au RGPD dès la mi-2016, alors que de nombreuses sociétés avaient à peine connaissance de l’existence de ce règlement. J’ai intégré un groupe de travail au sein de Veolia qui s’est attaché à programmer la mise en conformité avec le RGPD et ai naturellement été désigné Data Protection Officer (DPO). Ce rôle consiste en grande partie à s’assurer que les utilisateurs finaux de Veolia sont sensibilisés et formés à la cybersécurité.

De quelle manière avez-vous formé les collaborateurs de Veolia ?

Veolia a testé plusieurs méthodes de formation et de sensibilisation à la cybersécurité. Nous avons entre autres testé la formation par courrier électronique en envoyant aux collaborateurs des statistiques et des infographies, en créant des blogs sur un intranet partagé et en diffusant des informations dans les communautés Google.

Malheureusement, les utilisateurs finaux n’ont pas vraiment adhéré à ces méthodes, n’ouvrant pas les courriers électroniques et ignorant les blogs créés. Mon équipe n’ayant pas pu réellement démontrer que nous formions nos collaborateurs, nous n’étions pas en conformité avec la règlementation exigeant une formation sur la cybersécurité, notamment le RGPD.

Nous avons alors changé notre stratégie et avons organisé des présentations d’une heure à l’attention du personnel sur différents sites, mais beaucoup ne disposaient pas des aménagements adaptés pour nous permettre de former tout le monde à la fois. Nous avons donc mis en place des séances interactives plus petites pour former six à huit personnes simultanément. Ces séances étaient efficaces, mais ce n’était pas viable sur le plan logistique au regard des 5500 utilisateurs informatiques répartis sur plus de 400 sites avec une équipe d’environ trois personnes.

Nous avons donc commencé à nous intéresser aux logiciels de formation à la cybersécurité. Nous avons essayé des solutions de deux fournisseurs de premier plan en demandant à des collaborateurs des départements RH, Finance et IT de tester les différents types de formation et de communiquer leur avis à ce sujet. La solution de Wombat Security Technologies (société rachetée par Proofpoint début 2018) a été largement plébiscitée en raison des modules interactifs et progressifs de Wombat qui se sont révélés plus intéressants que les modules de l’autre fournisseur basés sur des vidéos, que les utilisateurs finaux ont trouvé trop techniques et moins intéressants depuis leur bureau.

Quels sont les avantages de Wombat pour le programme de formation de Veolia ?

Notre objectif est de développer la formation en la rendant la plus accessible possible. Nous ne voulions pas que les utilisateurs se sentent intimidés.

Nous avons débuté la première campagne en envoyant un courrier électronique de présentation à tout le monde en invitant chaque collaborateur à suivre la formation obligatoire complète ‘Principes essentiels de sécurité’ et en les informant qu’ils pouvaient suivre d’autres modules de formation facultatifs. Durant la première semaine, 1200 modules ont été suivis parmi l’ensemble de modules obligatoires et volontaires. Sur une période de trois mois, 80% des utilisateurs avaient suivi la formation.

Au-delà du franc succès de la campagne obligatoire, j’ai vraiment été impressionné par le nombre d’utilisateurs finaux ayant suivi la formation volontaire. Au total, 4120 modules ont été suivis. 100 collaborateurs ont même suivi tous les modules existants. La cybersécurité sur les appareils mobiles, par exemple, est un thème volontaire qui a suscité beaucoup d’intérêt. J’ai lancé une fausse attaque par hameçonnage au cours de la Cyber and Physical Security Week interne de Veolia. Sur 5300 adresses électroniques ciblées, 700 ont cliqué sur le lien contenu dans le courrier électronique.

Ce nombre étant déjà relativement faible, j’ai décidé de tester les utilisateurs au cours d’un nouveau test de fausse attaque par hameçonnage quelques semaines plus tard. Notre simulation utilisait des pièces jointes et incorporait des courriers électroniques imitant encore mieux les courriers de l’entreprise. Résultat, des collaborateurs ayant réussi le premier test ont cette fois-ci été piégés. Ayant identifié le problème, nous avons appliqué une solution instantanée en centrant le prochain modèle de formation obligatoire sur les moyens d’éviter les pièces jointes dangereuses. Le retour sur investissement de la formation est grand avec un équivalent de 250 jours de formation entiers délivrés sur 5 mois, ce qui est impressionnant compte tenu du fait qu’environ 15 minutes sont nécessaires pour suivre les modules.

J’ai présenté la campagne de formation à la cybersécurité lors d’un sommet global organisé en France et consacré à la sécurité qui a reçu un excellent accueil. Le reste de l’entreprise semble prête à déployer cette méthode avancée de formation et de sensibilisation à la cybersécurité dans le monde entier.

Pour en savoir plus sur Veolia, et notamment à propos du service client, vous pouvez aller voir sur le site jaimeattendre.com pour avoir des informations à jour ainsi que des créneaux d’heures creuses où l’attente sera moindre.