Dumarey, le groupe d’excellence automobile
Après un an d’utilisation de Cyber Guru, le risque cybernétique est beaucoup plus faible.
Le groupe groupe Dumarey a été créé sous ce nom il y a environ un an, mais son histoire est bien plus ancienne. Elle a été créée sous l’impulsion de Guido Dumarey, fondateur et actuel président, qui a fait sa première acquisition en 1983 : une petite entreprise belge spécialisée dans le poinçonnage des métaux. Connu il y a encore un an sous le nom de Punch, le groupe s’est imposé sur le marché comme un fournisseur indépendant pour le développement, l’intégration et la production de systèmes de propulsion de haute performance, à commencer par les transmissions et les moteurs. Le groupe emploie plus de 3 000 personnes sur 6 sites en Europe et en Asie, avec un chiffre d’affaires annuel d’environ 1 milliard d’euros.
Organisé en plusieurs unités opérationnelles, le groupe collabore et partage son savoir-faire pour répondre aux différents besoins et demandes des clients, des groupes motopropulseurs aux transmissions en passant par les logiciels intégrés.
Compte tenu de la quantité d’informations qu’elle traite, du nombre élevé de ses employés et de son profil technologique, l’entreprise a choisi d’accorder une attention particulière à la sécurité informatique.
Paolo Carlo Pomi, Ciso de l’entreprise depuis environ un an, nous en parle. En plus de se concentrer sur la technologie, il a misé sur la formation des employés, notamment parce que les certifications industrielles exigent que l’entreprise s’engage dans la formation et la sensibilisation du personnel aux questions de cybersécurité.
« Je pense que pour mieux résister aux attaques d’ingénierie sociale, il faut une formation continue. Dans mon domaine, l’efficacité du cours frontal, dispensé une fois par an, peut résoudre le problème de conformité, mais il n’est pas assez efficace pour gérer le risque. Sur ce sujet, la communication est souvent ennuyeuse et peu impliquante. Pour protéger l’entreprise du risque cybernétique croissant, la technologie doit être associée à une solution de formation facile et rapide à déployer et à l’efficacité mesurable, qui peut réduire le risque en peu de temps, en transformant les employés en première ligne de défense contre les cyberattaques ».
Selon Pomi, la force d’un plan de formation comme Cyber Guru réside avant tout dans la continuité du message. « Un programme continu comprenant des sections de formation et de simulation et testant la résilience face aux attaques d’ingénierie sociale. Il ne s’agit pas seulement d’hameçonnage, mais d’une autre ligne de défense, en plus de la ligne technologique, qui transforme chaque employé en gardien vigilant des limites de l’entreprise. »
De plus, aujourd’hui, nous sommes tous connectés et souvent les deux mondes, le monde professionnel et le monde personnel, se chevauchent et se confondent.
« Il s’agit en fait d’un autre facteur de risque majeur qui ne peut plus être ignoré », déclare M. Pomi. « Quels que soient les efforts déployés pour séparer les deux, même en utilisant des appareils d’entreprise, l’attaque par ingénierie sociale joue fortement sur cette interpénétration. Ainsi, comme vous ne pouvez pas contrôler les appareils personnels des employés, le seul moyen de réduire le risque est de les sensibiliser et de les rendre attentifs.
Avec le cyber-gourou « Beaucoup de rapports et peu de clics ».
Le programme de formation Cyber Guru a été adopté par le groupe Dumarey depuis environ un an, d’abord dans le bureau de Turin et récemment dans les autres sites pour le personnel disposant uniquement d’une adresse électronique de l’entreprise.
« À long terme, mon objectif est d’étendre ce type de formation aux personnes qui n’ont pas d’adresse électronique d’entreprise. En fait, c’est un type de formation qui est également utile pour la sphère personnelle, et ce quel que soit le contexte dans lequel on évolue ».
Selon M. Pomi, un an après l’adoption du programme de formation, les premiers retours d’information importants sont déjà visibles. « La prise de conscience s’est certainement accrue et le niveau de risque a été abaissé. Nombreux sont ceux qui signalent et rares sont ceux qui cliquent. Il y a quelques jours, un employé m’a raconté qu’on lui avait demandé les détails de sa carte de crédit pour effectuer une réservation dans un restaurant. Cependant, la page où il était censé les saisir était étrange et manquait de certification, de sorte que la réservation n’a pas été effectuée. Cela confirme qu’un cours de formation comme celui de Cyber Guru est capable d’élever le seuil d’attention pour reconnaître une escroquerie potentielle. Il ne s’agissait pas d’un initié, mais d’un vendeur. Ainsi, le message, expliqué de manière concrète, pratique et compréhensible, touche tout le monde, quelles que soient les tâches effectuées par les employés. Après un an, le niveau de sensibilisation est beaucoup plus élevé qu’auparavant. En outre, cela garantit le succès de l’entreprise lors des visites des auditeurs des différentes certifications, qui posent des questions sur la partie sensibilisation et la partie formation ».
Certes, celui proposé par Cyber Guru est un modèle de formation qui constitue un nouveau concept et s’éloigne de la formation traditionnelle.
« Le fait est, conclut M. Pomi, que l’utilisateur moyen ne veut pas entendre la théorie des initiés, mais veut savoir, par exemple, quelles sont concrètement les cinq choses les plus importantes qu’il ne doit pas faire pour éviter de tomber dans un piège informatique.
Un entraînement continu est nécessaire, car le muscle de l’attention doit également être entraîné.
Après tout, il peut arriver à n’importe qui de lancer involontairement une attaque, il suffit d’un moment de distraction pour causer de sérieux dégâts, sachant que l’utilisation de l’intelligence artificielle rend les techniques d’attaque de plus en plus astucieuses et raffinées.
Le modèle du Cyber Guru est une réussite parce qu’il adopte précisément ce type d’approche et tient compte du fait qu’aujourd’hui, la cible des criminels est principalement humaine et que la technologie seule n’est pas une barrière suffisante ».