“ Cela peut m’arriver à moi aussi ”
L’impact émotionnel qui peut être le point de départ dans la découverte de l’apprentissage
BonelliErede raconte comment les outils de Cyber Guru ont brisé le mur du désintérêt et ont permis à toute l’équipe d’atteindre des niveaux inattendus de conscience numérique.
Connaissez-vous les grands cabinets d’avocats que nous avons tous vus dans les films américains, ceux qui traitent d’affaires importantes concernant des entreprises, des organisations, des institutions financières ? Ceux où travaillent des équipes compactes de professionnels qui mettent en œuvre tous leurs talents pour atteindre un même objectif ?
Ici aussi, chez nous, en Italie, ces réalités existent et représentent une force motrice pour tout le système du pays. BonelliErede, leader en Italie dans le domaine des services juridiques et fiscaux, est actif dans tous les domaines du droit commercial et du droit pénal des affaires, où il s’adresse principalement à l’assistance aux entreprises.
Les secteurs dans lesquels il évolue sont variés : énergie, bâtiment, finance, immobilier, art, sport, pour n’en citer que quelques-uns. Une équipe d’environ 800 personnes, dont environ 550 avocats, qui s’efforcent de toujours chercher la solution la plus appropriée pour leurs clients, qu’il s’agisse du droit des sociétés, du droit fiscal, du droit du travail, des problèmes de concurrence, des crises d’entreprise et des restructurations de dette, des arbitrages internationaux, et bien plus encore.
Un réseau très dense, donc, de relations et d’échanges qui se nouent en grand partie via Internet et dans le monde entier, étant donné que BonelliErede a un siège à Milan, Rome, Gênes, Londres, Bruxelles, Dubaï, Le Caire et Addis-Abeba.
Il s’agit d’une organisation importante et bien structurée du point de vue de la sécurité informatique, qui a toujours freiné les tentatives d’attaques qui se sont produites au fil des ans grâce à des systèmes de protection adéquats.
Mais même les meilleurs ont un point faible et pour BonelliErede, cela représentait la difficulté de transmettre à sa grande équipe de professionnels l’importance d’une formation adéquate des individus sur les questions de cybersécurité.
Le sujet, vous le savez, n’est pas passionnant et il est difficile de convaincre des personnes avec des journées très chargées en engagements et avec des sujets importants en tête de consacrer une partie de leur temps à se former sur un sujet qui ne les concerne pas directement. Du moins, c’est ce qu’ils pensent.
Pour raconter comment ce défi a été gagné, Mauro Baldoni, directeur informatique de BonelliErede.
« L’occasion s’est présentée avec le parcours commencé en 2017 pour obtenir la Certification ISO/IEC 27001, certification internationale du Système de Gestion de la Sécurité de l’Information (SGSI). Celle-ci a été obtenue en 2019 après une période de deux ans qui nous a obligés à revoir toutes les mesures organisationnelles, technologiques et de processus, car la certification nécessite non seulement certains systèmes de sécurité active et passive, mais également le développement d’une certaine sensibilisation.
En effet, nous, les professionnels, savons depuis toujours que le point faible de la sécurité se situe entre l’écran et le dossier de la chaise, c’est-à-dire qu’il est représenté par le facteur humain. Mais le problème est de savoir comment le faire comprendre à ceux qui, dans la vie, s’occupent d’autre chose.
Nous avons ainsi expérimenté différentes approches : didactique en ligne, PowerPoint, documents divers, voire courtes vidéos produites en interne. Mais tout a échoué, nous ne pouvions jamais capter l’attention de nos avocats. »
Les séries TV pour une implication active
« La clé de voûte a été lorsque nous nous sommes aperçus qu’en montrant un épisode de la série bien connue Black Mirror, produite par Netflix, dans lequel on racontait une attaque typique contre le PDG, qui a pu se produire en passant par son fils adolescent, tout le monde restait collé à la vidéo. L’épisode fait appel à la partie du cerveau la plus étroitement liée aux instincts et aux émotions. Il n’y avait pas de notions à retenir ou de théories à comprendre intellectuellement, mais il y avait une histoire bien racontée qui a permis aux utilisateurs un processus d’identification avec ce qui est raconté.
En bref, ils ont compris qu’ils auraient tous pu être les victimes de cette histoire. Tout a ensuite été amplifié par les méthodes de travail imposées par la pandémie qui a forcé de nombreux professionnels à partager leurs appareils avec leurs enfants, peut-être même des adolescents, qui suivaient les cours à distance. »
La rencontre avec Cyber Guru
« Nous avons enfin compris comment capter l’intérêt de notre cible et, au cours de la même période, nous avons découvert Cyber Guru, avec son partenaire Tormalina, et ses différents programmes de formation.
En particulier, ses vidéos, basées sur le modèle des séries télévisées et mettant en scène des acteurs professionnels qui simulent des situations de risque réelles et quotidiennes en montrant la bonne façon de ne pas tomber dans le piège, nous correspondaient parfaitement.
Et c’est ainsi que nous avons commencé cette nouvelle aventure de formation.
La nouvelle approche, précisément parce qu’elle est basée sur une narration particulièrement engageante, centrée sur l’exposition de cas réels de cyberattaque, a été très appréciée en interne et a impliqué de manière transversale les différentes figures professionnelles et les différents groupes d’âge.
Ce qui nous a le plus positivement impressionnés, c’est qu’il y a eu des épisodes de tentatives de hameçonnage qui ont été immédiatement interceptées même par des membres moins jeunes. Même à quatre-vingts ans. Un résultat auquel nous ne nous attendions pas. »
La gamification pour motiver et gratifier
« Une autre méthode de formation qui a rencontré un grand succès, en particulier chez les plus jeunes, a été celle du jeu en équipes.
Créer une concurrence entre les différents secteurs et départements et offrir un prix à celui qui est le premier capable de trouver une solution à un problème de sécurité ou pour celui qui termine avant les autres un certain parcours de formation est un motif de grande implication.
Le prix peut être un chèque-cadeau ou bien le nom du gagnant est communiqué en interne à tous, il bénéficie ainsi d’un petit moment de notoriété et de succès. C’est gratifiant et donc très motivant. »
La sensibilisation à la sécurité également pour les partenaires et les consultants
« En tant que cabinet, nous ne nous sentons pas vulnérables, nous sommes structurés et même au niveau de la conscience, nous pouvons affirmer que nous avons fait un grand bond en avant au cours des 3-4 dernières années.
Le problème est que nous ne pouvons pas compter uniquement sur nous-mêmes. Lorsque nous suivons des affaires, il y a toujours beaucoup d’autres personnes impliquées et tout le monde n’a pas un niveau adéquat de « blindage technologique » ou de préparation. Il peut donc arriver que quelqu’un, qui ne fait pas partie du cabinet, soit « piraté » et ouvre la porte au hacker de service, qui peut s’immiscer dans le cercle des e-mails en se faisant passer pour l’un de nos avocats, par exemple, et ainsi porter atteinte à notre image.
Jusqu’à présent, toutes les tentatives d’attaque ont été découvertes et arrêtées, mais le problème ne peut être ignoré.
C’est pourquoi nous avons lancé une campagne auprès des partenaires, des consultants, des concurrents, afin de demander à tous ceux qui travaillent avec nous de prendre des mesures de sécurité adéquates. »