TechTarget

lily - stock.adobe.com

Projet IT

Cybersécurité : les laboratoires Théa misent sur la sensibilisation

Pour aller au-delà de ce que peut fournir la technologie comme protection contre les risques de sécurité informatique, l’entreprise a choisi de renforcer sa première ligne de défense : ses utilisateurs.

Valéry Rieß-Marchive
par
Publié le: 10 avr. 2018

Sensibiliser, impliquer les utilisateurs, pour aller plus loin dans la sécurité informatique. Le constat n’est pas isolé et c’est lui qui a conduit les laboratoires Théa à chercher des moyens pour avancer dans cette direction. A ce titre, un audit de sécurité s’est avéré particulièrement éclairant, explique Laurent Coraziari, chef de projet au sein des laboratoires Théa : « même si, d’un point de vue technique, nous disposions déjà d’une base très saine, nous avons identifié des problèmes liés à des pratiques. Par exemple, des impressions étaient laissée à l’imprimante ». Un système de badges a été mis en place pour éviter cela. Et c’est sans compter avec l’éternelle question des mots de passe et des utilisateurs qui ne comprennent pas forcément pourquoi il y est important de définir un mot de passe robuste, ni ne savent comment le faire. « Alors nous avons expliqué ».

Une première campagne de sensibilisation a eu lieu au siège français des laboratoires Théa, couvrant un total de moins de 300 personnes. Concrètement, un intervenant externe a passé quelques heures à évoquer plusieurs points clés liés à la sécurité informatique. Mais l’exercice n’était pas sans limites : il n’a pas touché les collaborateurs nomades, comme les visiteurs médicaux en déplacement, ni ceux des filiales. Et pour certains, l’exercice s’est avéré « trop scolaire », manquant d’interaction ou de mise en contexte des éléments développés.

Toucher des populations variées

C’est alors fin 2016 que les laboratoires Théa ont choisi de s’appuyer sur la plateforme SensiWave de Conscio Technologies pour assurer la sensibilisation initiale et continue de leurs collaborateurs à la sécurité informatique, avant de lancer une première campagne il y a tout juste un an.

L’objectif était tout d’abord de pouvoir toucher tous les collaborateurs de l’entreprise, jusque dans les filiales à l’étranger. Comme le souligne Laurent Coraziari, les laboratoires Théa sont une entreprise âgée de 25 ans et, « à l’époque, nous étions 30, alors qu’aujourd’hui, nous sommes un millier. Le déploiement à travers le monde est très rapide, avec l’ouverture de trois ou quatre nouvelles filiales par an ». Il faut donc pouvoir toucher les nouveaux collaborateurs, tout en assurant la sensibilisation en continu du reste des effectifs.

D’où le besoin d’une plateforme disponible en plusieurs langues, supportant bien les terminaux mobiles, comme les tablettes et les smartphones même si, pour ces derniers, l’écran peut toutefois s’avérer un peu petit.

Mais la plateforme de Conscio a aussi, voire surtout, été retenue pour l’expérience qu’elle procure aux utilisateurs : « de petites scénettes assurent la mise en situation. Il y a bien sûr des questions et des explications, mais la personne qui suit la formation ne se sent pas passive ». L’interactivité est donc appréciée, de même que la dimension ludique de l’univers proposé.

Les thèmes principaux abordés pour les deux campagnes organisées en 2017 étaient la mobilité et la sécurité des données, « car certaines personnes se déplacent énormément et ne faisaient pas forcément très attention en se connectant à un réseau WiFi, ou pouvaient laisser leur matériel un peu sans surveillance ». Et puis il fallait sensibiliser aux niveaux de criticité de certains documents, ainsi qu’à la manière d’en gérer stockage et partage en conséquence.

Assurer l’adhésion des utilisateurs

Les laboratoires Théa visent à organiser deux campagnes de sensibilisation par an, une en février et l’autre en septembre. L’an dernier, ils ont ajouté à cela une fausse campagne de hameçonnage, avec des résultats plutôt positifs : sur 600 personnes visées par la fausse tentative de phishing, seules 40 ont ouvert le lien piégé. « Parmi celles-ci, certains ont reconnu avoir cliqué sans trop faire attention, un peu ‘par réflexe’ ». Une demi-surprise qui souligne l’importance de la sensibilisation. Et la dernière campagne de 2017 ne s’est pas montrée moins satisfaisante, avec un taux de réussite de 96,5 %.

Mais Laurent Coraziari souligne un autre succès de la plateforme : « certaines personnes refond un second, voire même un troisième essai ». Le signe d’une bonne adoption de SensiWave. Pour cette année, les laboratoires Théa prévoient d’ajouter aux deux campagnes régulières, une troisième, centrée sur le règlement général de protection des données (RGPD) qui entre en vigueur fin mai.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close