Michel Gérard, Conscio: "Sensibiliser les équipes permet de réduire les incidents de 60%"

Recontre cyber-expert: Michel Gérard PDG Conscio

 

               "Sensibiliser les équipes permet de réduire les incidents de 60%"

 

Salut Michel, çà faisait un petit moment depuis Neurocom et Hapsis qu'on ne s'étaient pas vraiment croisés...

Oui. Après l’aventure Neurocom comme tu le sais j’ai monté puis revendu Hapsis et depuis huit ans une nouvelle aventure avec Conscio Technologies.

 

 

Ton cœur d'activité avec Conscio c'est la sensibilisation en cybersécurité. Çà marche encore cette approche . Je te demande cela parce que çà fait 20 ans qu on en parle et les avis sont partagés sur les « ROI » coté users. Tu disposes de chiffres sur cet aspect ?

Oui et différentes formes de sensibilisation existent. Sensibiliser les équipes permet de réduire les incidents de 60% chiffre argumenté dans l’étude d’Aberdeen group sur le sujet. Nous avons plus de 7 ans d’expérience dans la sécurité informatique, la sensibilisation et la formation et plus de 800 000 utilisateurs satisfaits. Nous disposons de nombreuses références auprès d’organisations de toutes tailles dans différents secteurs. Notre client le plus fidèle nous suit depuis 7 ans en repartant sur de nouvelles campagnes.

 

Ton approche pour sensibiliser des profils « end-users » très distincts est basée sur les « serious games » dont on parle beaucoup en cybersécurité ?

Non, nous n’utilisons pas l’approche Serious Games telle qu’on l’entend généralement même si nos supports sont plaisants et interactifs.. En effet, si l’approche « serious games » se justifie dans une formation de fond elle n’est guère appropriée pour une opération de sensibilisation. Ils sont en effet en général difficiles à déployer sur une grande échelle et nécessitent un temps de prise en mains préjudiciables à une appréhension rapide du message par le plus grand nombre.. Quand on a des « end-users » d'origine et de profils très différents il faut au contraire de la légèreté pour accéder à l'outil, le choix en fonction de son planning et une ergonomie ne nécessitant aucun apprentissage. Bref, le contraire des « serious games » trop lourds et complexes.

 

L'approche de Conscio est basée sur un service Sensiwave et Rapid Awareness en mode SaaS, avec un forfait pour que les collaborateurs a sensibiliser se connectent quand ils le désirent ?

Oui c'est la philosophie. Nous disposons dans des data center de la région parisienne de serveurs hébergeant s une plate-forme de services de sensibilisations. Ces services peuvent se percevoir comme des parcours à suivre en fonction du type de sensibilisation souhaitée. Chez, Conscio Technologies nous tenons compte par exemple des problématiques de sécurité internes aux entreprises. Avec RapidAwareness une entreprise peut mettre en œuvre une campagne de sensibilisation en quelques clics et en quelques minutes. En revanche il n’est pas possible de personnaliser le contenu. Avec Sensiwave il est en revanche possible de personnaliser les contenus et de gérer ses campagnes comme on veut. En revanche il faut y passer plus de temps.

 

Face aux évolutions constantes des paysages réglementaires, tu es contraint de mettre à jour en permanence tes cours je suppose ?

Oui quand la réglementation est abordée. Je voudrai souligner un point important. Nos campagnes de sensibilisation fonctionnent selon plusieurs vecteurs et de façon ludique afin de séduire un large public. Des saynètes tirées du quotidien, des vidéos d’animation attractives, des sondages, des quizs, des BD… ou des mises en situations, ces nouveaux parcours interactifs et éducatifs de sensibilisation forment un support intéressant pour la formation aux bonnes pratiques.

 

Quels thèmes abordes-tu dans tes campagnes ?

Cela dépend de la demande des clients et de leur secteur professionnel. En plus d’un parcours sur les Essentiels permettant une première sensibilisation sur les principaux sujets (Mot de passe, Messagerie, Protection de l’Information, Ingénierie Sociale, Mobilité, Accès Physique), Conscio Technologies propose depuis le début de l'année 2016, 17 parcours couvrant de manière approfondie l’ensemble des problématiques de sécurité qu’il est possible de rencontrer en entreprise. Chaque parcours est constitué de séquences d’images de type BD, vidéos et autres visuels présentant un scénario et se concluant par un quiz dont l’objectif est de faire réagir le collaborateur à la situation rencontrée. Ces parcours sont personnalisablesen fonction des besoins et des métiers.

 

Il n y a pas de formateurs physiquement présents dans les locaux de tes clients. La plateforme joue donc un rôle stratégique. Quelles pistes as-tu privilégiées pour mettre au point ton outils ?

C'est vrai que le développement a demandé beaucoup de travail. Notre outil, ISAM utilisé pour réaliser une étude pour connaître le niveau de sensibilisation à la sécurité des entreprises françaises (cf ci dessous) fonctionne selon un questionnaire basé sur des thématiques. Les réponses sont classées selon trois niveaux d'évaluation. Pour l'étude réalisée avec Solucom pour le FIC 2016 nous avons obtenu des réponses assez proches de nos propres constats connus à partir de nos campagnes. Ainsi, comportement, sensibilité et connaissance se retrouvent dans toutes les réponses indépendamment du niveau de culture de l'entreprise en cybersécurité. Globalement les résultats de cette étude montrent que si le niveau de sensibilité est assez élevé il y a un travail important à mener sur les connaissances ce qui empêche aujourd’hui d’atteindre un bon niveau de comportements spécialement sur les mots de passe et sur l’ingénierie sociale.

 

Dernier point avant qu on se donne RdV dans dix ans :) , quelles sont les motivations des entreprises qui entreprennent des campagnes de sensibilisation de leurs équipes ?

C'est très varié : pour certains c'est offrir de la sensibilisation sur des points précis comme la conformité réglementaire, la fraude au Président. Pour d'autres comme le département de l'Aisne c'est transformer les collaborateurs en acteurs du changement..

 

Propos recueillis par @jpbichard

 

 

BONUS: 

Sensibilisation à la cybersécurité : où en sont les entreprises françaises ?

À l'occasion du FIC 2016, Solucom, cabinet de conseil spécialiste de la transformation des entreprises, et Conscio Technologies, spécialiste de la sensibilisation à la sécurité de l'information, révèlent les résultats de leur étude exclusive sur la sensibilisation à la cybersécurité dans les grandes entreprises françaises.

Fondée sur un panel de 28 000 personnes interrogées dans 12 entreprises majeures, cette étude met en lumière des points cruciaux sur lesquels les entreprises doivent agir aujourd'hui afin d'éviter d'être, une fois de plus, victimes de cyberattaques. Cette analyse complète, unique en France, a été réalisée avec la solution ISAM de Conscio Technologies, qui permet d'auditer le niveau de sensibilisation des salariés en matière de sécurité informatique.

46% des collaborateursneconnaissent pas les comportements à adopter face à l'ingénierie sociale

Premier enseignement, la fragilité des entreprises face à l'ingénierie sociale (faux emails de type phishing,escroqueries au président, appels téléphoniques frauduleux...) est clairement démontrée. 46% descollaborateurs ne connaissent pas les comportements à adopter face à ce type d'attaques. « L'ingénierie sociale est aujourd'hui le vecteur n°1 pour réaliser des fraudes ou s'introduire dans les réseaux d'entreprise. L'ensemble des collaborateurs doit connaître cette menace et surtout savoir comment se comporter, en particulier en alertant rapidement les responsables sécurité » détaille Gérôme Billois, senior manager cybersécurité chez Solucom. « La majorité des incidents ou pertes de données sont déclenchés par le facteur humain. Il est donc primordial de sensibiliser les salariés aux bonnes pratiques et d'envisager la sécurité dans son ensemble. » confirme Michel Gérard, directeur de Conscio Technologies.

Les bonnes pratiques de sécurité des mots de passe maitrisées par 47% des collaborateurs

Deuxième enseignement, les mots de passe restent un sujet complexe pour les collaborateurs des entreprises. 88% d'entre eux sont sensibilisés sur la nécessité d'avoir un mot de passe de bonne qualité (longueur, absence de mots existants...) mais seulement 47% adoptent les bonnes pratiques dans leurs activités quotidiennes. « Ce chiffre montre que malgré de bonnes intentions, seule la mise en place de mécanismes techniques pour forcer la qualité des mots de passe fera évoluer la situation » analyse Gérôme Billois.

La réglementation, un sujet connu uniquement par 63% des collaborateurs

Enfin, il apparaît que les collaborateurs des grandes entreprises sont très peu sensibilisés aux réglementations sur la protection des données à caractère personnel. Ce thème obtient globalement le plus faible des scores, avec 63% des répondants connaissant les règles de base sur la protection des données des clients ou des collaborateurs. « Ceci fait courir un risque juridique direct aux entreprises, d'autant plus que la réglementation va très prochainement se durcir avec le nouveau règlement européen sur les données à caractère personnel » détaille Gérôme Billois.

La sensibilisation des collaborateurs est un facteur clé de la cyberprotection des entreprises. Aujourd'hui, de nombreuses structures réalisent des actions dans ce domaine mais peu en évaluent réellement l'effet. « C'est pourtant cette évaluation qui permet de mesurer l'efficacité et d'orienter les prochaines actions vers les populations les plus à risque » ajoute Michel Gérard.

Etude menée par Solucomet Conscio Technologies en 2015sur un panel de 28 000 utilisateurs de la solution ISAM de 12 entreprises majeures en France. L'étude estdisponible auprèsde Solucom et ConscioTechnologieset sera distribuée lors du FIC2016 qui se tiendra à Lille les 25 et 26 janvier 2016.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires