Hiscox mise sur la formation pour accompagner ses assurés cyber

Hiscox vient d’annoncer l’arrivée en France de sa CyberClear Academy, un programme de formation en ligne aux bases de la cybersécurité. Basé sur l’offre Resilia d’Axelos, ce programme comporte 11 modules recouvrant des sujets aussi variés que l’ingénierie sociale et le hameçonnage, le travail à distance ou encore le RGPD. A la fin de chaque module, un test vise à valider l’acquisition des connaissances. Un minimum de 80 % de bonnes réponses est nécessaire à la validation.

Cette formation est offerte systématiquement aux petites entreprises, « jusqu’à une dizaine de millions d’euros de chiffre d’affaires », explique Astrid-Marie Pirson, directrice technique de la souscription chez Hiscox France : « au-delà, ce n’est pas forcément pertinent. Et certaines entreprises ont déjà quelque chose en place ». En fait, si l’assureur vise surtout les petites entreprises, c’est « parce que l’on sait qu’elles sont souvent assez démunies et n’ont pas forcément les moyens de s’offrir une formation sur ces sujets ». Mais également « parce que tout le monde dit qu’il faut se former, que l’humain peut constituer le maillon faible », mais encore faut-il trouver ces formations et pouvoir en supporter le coût.

Le suivi de la formation n’a rien d’obligatoire. Mais l’assureur n’en a pas moins prévu une carotte : si plus de 80 % des collaborateurs la suivent et réussissent les tests finaux, « nous leur consentons une réduction de franchise en cas de sinistre ». Et celle-ci n’est pas négligeable : cette réduction « est de mille euros environ » ; ce qui correspond au premier niveau de franchise de l’assureur.

Le programme de formation se veut adapté aux tablettes et aux smartphones, avec des modules pouvant être finalisés en l’espace d’une bonne dizaine de minutes. L’idée, explique Astrid-Marie Pirson, est de permettre aussi aux utilisateurs de suivre la formation lors de leurs trajets domicile-travail.

Dans la pratique, le déroulement de la formation s’avère très progressif. Le second module n’est par exemple accessible que trois semaines après l’inscription afin de ne pas saturer l’utilisateur. Le module que nous avons pu tester est relativement peu interactif, mais n’en est pas pour autant particulièrement laborieux ni moins instructif. Certaines traductions peuvent toutefois s’avérer troublantes, et elles ne sont pas exemptes d’erreurs typographiques isolées. Une évaluation initiale permet d’éviter à l’utilisateur de passer par un module dont il maîtrise déjà les connaissances associées.

On pourra regretter l’absence de mécanisme de relance automatique lorsqu’un module est commencé, mais que l’utilisateur oublie d’y revenir. L’utilisateur principal, appelé administrateur, peut toutefois voir où en sont ses collègues et le cas échéant, procéder lui-même à des relances.

Avec cette initiative, Hiscox ne se fait pas d’illusion : il n’est pas question d’empêcher tous les incidents de sécurité par la seule formation. Mais le risque n’en sera pas moins réduit.