ÉTUDES DE CAS
Groupe Hera :
la cybersécurité
commence par la formation
Présentation générale
Avec son siège principal à Bologne, le groupe Hera est l’un des principaux multiutilisateurs en Italie, opérant dans 265 municipalités. Il fournit des services énergétiques (gaz, électricité), hydriques (aqueduc, égouts et épuration) et environnementaux (collecte et élimination des déchets) à environ 4 millions de citoyens. Une réalité dans laquelle travaillent plus de 9 000 employés et qui, comme toute entreprise, est confrontée chaque jour aux défis de la cybersécurité.
Le défi
Afin de tenir compte de l’évolution du contexte extérieur et de prévenir d’éventuelles critiques, Hera a décidé de renforcer le contrôle des thématiques
de cybersécurité en constituant en 2020 la structure « Information and Cyber Security Management » dédiée à la sécurité informatique et OT, avec des objectifs plus difficiles non seulement en termes de formation, mais également de création d’une culture d’entreprise plus large sur le sujet.
La solution
Après avoir mené à bien une phase
de scouting, le groupe a décidé de s’appuyer sur la proposition de Cyber Guru pour faire ce saut qualitatif recherché. En particulier, le choix s’est porté sur les solutions Cyber Guru Awareness, l’e-learning avec des micro-leçons sur les menaces et les bons comportements pour les éviter, et Cyber Guru Phishing, une solution de formation anti-hameçonnage basée sur l’intelligence artificielle.
Ce service public utilise les solutions Cyber Guru pour créer une sensibilisation et améliorer les défenses des utilisateurs internes.
L’implication de la Direction centrale Personnel et Organisation a été fondamentale sur le thème de la formation, et donc de la sensibilisation au numérique. Giorgia Silvi, référente Organisation et Formation du pôle Innovation du groupe Hera, explique en ce sens que « Cyber Guru, à travers une plateforme accessible directement depuis notre portail d’e-learning MyAcademy, s’est dès à présent révélée être pleinement intégrable avec le parcours d’évolution numérique initié en 2017 avec le projet HER@futura, qui prévoit un plan de changement structuré et continu pour accompagner tous nos collègues dans le parcours de transformation numérique de notre entreprise ».
Le projet Cyber Guru Awareness est sur une base volontaire,
avec une adhésion en croissance constante pour une activité qui, en transmettant des contenus résultats immédiatement stimulants et efficaces, mais simples dans le langage et avec des retours d’expérience dans la vie
quotidienne de chaque salarié, propose des cas pratiques
d’attaque qui peuvent également se produire dans la sphère privée de chacun de nous. « Nous avons reçu un accueil enthousiaste de la part du personnel, avec des retours directs sur la qualité et la pertinence des contenus. La simplicité d’utilisation a été appréciée et la durée appropriée, en plus de l’application de ce qui a été appris même dans la sphère privée », poursuit Silvi, en ajoutant que le projet – qui a eu dès le début le soutien des dirigeants avec des vidéos dédiées de Stefano Venier, PDG de Hera – prévoit de tirer parti de la communication interne pour stimuler la participation non seulement au contenu de micro-learning, mais également aux initiatives de gamification que la plateforme permet de concevoir.
Reconnaître les fraudes par e-mail
« Grâce à la nouvelle plateforme, l’approche a été radicalement modifiée pour permettre un véritable entraînement des utilisateurs avec des objectifs d’amélioration réalisables grâce à une technologie d’auto-adaptation efficace. Je me réfère à l’envoi d’un e-mail mensuel de simulation d’hameçonnage créé sur la base de dix modèles différents et avec divers degrés de difficulté. L’intelligence artificielle décide quel type d’e-mail envoyer, quand et à quels utilisateurs, en tenant compte du niveau atteint par chaque destinataire, calculé en fonction du comportement des messages “éthiques” reçus précédemment.
Par rapport à l’ancienne méthode, nous avons donc constaté une nette augmentation des performances : les utilisateurs déjà “forts” parviennent à renforcer leurs capacités par le biais d’e-mails de plus en plus difficiles, tandis que les utilisateurs initialement plus “faibles” parviennent à s’améliorer progressivement grâce à des campagnes plus simples qui leur sont dédiées. L’agrégation des données permet également de suivre l’évolution des activités et d’introduire les correctifs nécessaires, en garantissant l’anonymat du personnel concerné. Dans le même temps, ils ont constaté une augmentation des signalements directs sur notre canal dédié, signe que la communauté se sent fortement impliquée et décide de contribuer lorsqu’elle estime avoir reçu un message frauduleux », explique Caterina Corbo, responsable de la planification et du suivi.
Pour lire l’interview complète transcrite par Office Automation, cliquez ici.