comment sensibiliser ses employés ?

La dernière présentation à laquelle j’ai assisté dans le cadre de Ready for IT 2025 avait pour la sensibilisation et formation à la cybersécurité en entreprise. Cyber Guru et son client Bnetwork, que Bruce Gonzalvez a présenté comme étant « le booking de l’événementiel » ont présenté un cas concret intéressant. Bnetwork est une agence fondée en 2005 à Nice, qui dispose de plus de 3 000 hôtels partenaires à travers l’Europe. Ce témoignage a permis de décortiquer la méthodologie pour améliorer la sensibilisation des employés à la cybersécurité. 

Sensibiliser ses employés au Phishing par la formation à la cybersécurité ?

Les intervenants (par ordre alphabétique)

• Gaspard Droz, Mantra (fondateur)
• Bruce Gonzalvez, CPO de Bnetwork (le booking.com de l’événementiel)
• Marie Julian, responsable qualité Bnetwork
• Rémi Pautut, responsable informatique de Bnetwork

Contexte et problématiques de Bnetwork

Bnetwork gère chaque année l’hébergement et la logistique de plus de 250 événements internationaux. La société accompagne plus de 500 000 participants et collabore avec plus de 2 400 partenaires hôteliers.

Rémi Pautut, son responsable IT, a décrit les vulnérabilités qui menacent l’entreprise. 

« Nous avons beaucoup de flux financiers, puisqu’on gère les paiements pour les hôtels. Et on gère aussi des éléments pour les organisateurs d’événements. De ce fait, nous subissions des failles de sécurité au niveau des employés. Ceci touche principalement la comptabilité, mais d’autres départements sont aussi concernés. En effet, d’autres départements gèrent des flux financiers, par exemple, vers les hôtels. Cela nous a amenés à subir un grand nombre d’attaques dont certaines ont failli aboutir. »

Des obligations réglementaires

Marie Julian, responsable qualité de l’entreprise, a poursuivi : « Nous travaillons beaucoup sur l’amélioration continue. » […] Et dans une entreprise, on va avoir des droits, mais aussi on va avoir des devoirs. Notamment dans le cadre de la réglementation RGPD, mais aussi […] au niveau de la sécurité des données bancaires, avec la norme PCI DSS et ISO ».

Bruce Gonzalvez, chief project officer de Bnetwork, ajoute:  

Pour obtenir nos certifications, dans certains cas, nous devons fournir des preuves de la formation de nos employés. 

État des lieux initial

Or, Marie Julian explique qu’au départ du projet, Bnetwork « n’avait pas beaucoup de choses en place pour résoudre ce problème ». « […] on créait des PowerPoints, on envoyait des e-mailings lorsqu’on avait des attaques, et on essayait d’organiser quelques formations, mais cela n’était jamais très formel. »

Bruce Gonzalvez ajoute que même si la présence des employés était suivie, « on n’était jamais sûrs qu’ils avaient compris les messages. » Avaient-ils même été assidus ? Surtout avec Teams, il peut être compliqué de contrôler la connaissance des employés à l’issue de ces séances de formation. »

Rémi Pautut explique qu’il fallait donc « améliorer l’automatisation et la récurrence de ces séances de formation ».

Les solutions mises en place pour former les employés

Au vu de ces limites, l’équipe a donc mis en place un programme plus systématique de formation à la cybersécurité en s’appuyant sur la solution Mantra. Elle s’est articulée autour de 4 points cruciaux. 

1. Module de sensibilisation intégré à Teams

Rémi Pautut : « Nous avons donc mis en œuvre un robot qui est intégré à Teams. » Toute la société utilise Teams. Ce robot contacte automatiquement les apprenants au moment opportun, et notamment dans le cadre de l’onboarding. « Dès qu’un employé rejoint l’entreprise, il sera immédiatement sensibilisé au phishing. » 

Et d’ajouter que ces cours ont plu aux employés, car « ils n’étaient pas très longs et étaient ludiques et simples à mettre en place, avec un quiz aussi à la fin, pour vérifier les connaissances des apprenants ».

Marie Julian indique également que la société dispose de « plusieurs sites européens avec des employés de nationalités différentes ». « Les cours sont ainsi paramétrés dans la langue native de chaque employé. »

2. Entraînement au phishing

Rémi Pautut explique qu’une gamification a été mise en place avec un système d’étoiles qui crée de l’émulation entre les employés.

Bruce Gonzalvez précise aussi que « l’outil proposé par Mantra va permettre de cibler des populations pour aller leur faire un phishing spécifique à la finance ou à l’IT, etc. » Par exemple, une fausse facture AWS indiquant qu’en absence de paiement, le compte sera suspendu. « Ce type de messages est un peu stressant », indique M. Gonzalvez. Il est tentant de cliquer sur un pareil message. On peut cibler ainsi chaque service avec des messages différents, à fins d’entraînement.

Les cours sont également diversifiés. De nouveaux cours sont organisés tous les mois ou tous les deux mois, explique Marie Julian. La société est ainsi capable de créer elle-même « de nouveaux cours et de les assigner aux départements ou aux personnes qui sont le plus à risque. »

3. Smart Banners – Sensibilisation en temps réel

Gaspard Droz explique le système de sensibilisation en temps réel qu’il appelle les « Smart Banners ». « Notre objectif demain, c’est que tout le monde arrive à détecter que l’email qu’il reçoit, même s’il a passé la barre de l’antispam, reste potentiellement un email de phishing. » Pour ce faire, on analyse environ une quarantaine de points de contrôle. On va mettre en avant de façon très claire les “red flags” de l’e-mail en question pour que le collaborateur arrive à détecter si c’est un phishing. »

Rémi Pautut ajoute que la mise en place de ce système « a été très simple et rapide ». Une simple configuration suffit. Un système de couleurs très lisible permet également à l’employé d’identifier rapidement s’il y a un problème avec un message.

4. Browser Defender – Protection navigateur

Rémi Pautut décrit le quatrième dispositif : “Il s’agit d’une extension, assez facile à installer, qui fonctionne sur Chrome, Firefox et Edge. Cette extension va alerter et bloquer l’utilisateur qui réutilise plusieurs fois le même mot de passe et en le décourageant de le faire.”

Les résultats obtenus

1. Amélioration du taux de clic

La solution mise en œuvre a permis “un suivi statistique qui était inexistant chez nous auparavant”, a expliqué Marie Julian. “Grâce à cela, on peut voir qu’on est actuellement à 6 % de taux de clic sur des mails de phishing, alors qu’au tout début du lancement, deux ans plus tôt, on était à 30 % environ”, ajoute-t-elle.

Rémi Pautut, philosophe, conclut sur ce point que “l’on sait qu’on n’atteindra jamais 0 %” sur ce type d’entraînement, mais que la progression est très nette néanmoins.

2. Suivi et amélioration continue

Bruce Gonzalvez ajoute que ce dispositif est “gagnant-gagnant pour tout le monde”. L’employé voit comment il peut progresser en cybersécurité grâce à la formation. Et pour le management, cela permet d’avoir un suivi constant” avec une vue sur l’amélioration des métriques. 

Des modèles de phishing standard, bien ciblés, sont proposés par Mantra, explique Rémi Pautut. Ils sont personnalisables en fonction des sociétés et des progiciels utilisés par l’entreprise. Une fois le système configuré, tout sera automatisé.

En conclusion 

Même si la perfection n’est pas de ce monde, la systématisation et l’automatisation de la formation des employés à la cybersécurité permet d’améliorer la sensibilité au phishing et change les comportements. Même si, en fin de compte, seule une combinaison de solutions permettra de renforcer l’étanchéité totale du SI.

---

À propos de Mantra et Cyber Guru 

Copy URL URL Copied