Depuis trois ans, le groupe d’assurances mutualiste Matmut a déployé la plateforme de sensibilisation aux risques cyber d’Avant de Cliquer au sein des diverses entités du Groupe Matmut et pour environ 7 500 employés. Cédric Chevrel, RSSI du groupe présent à la Matmut depuis 25 ans, gère une équipe cyber de 17 collaborateurs. Il nous explique les enjeux et résultats de cette collaboration avec Avant de Cliquer.
SNC – Quels sont les principaux enjeux de la cybersécurité dans le groupe ?
C. C. – Nous avons moins de cyberattaques sous forme de phishing de masse mais de plus en plus de phishing très ciblé, personnalisé : du spear phishing. Le message tient compte de notre contexte parce que les attaquants sont allés prendre des informations sur les comptes LinkedIn et utilisent le jargon technique de l’organisation, par exemple. Les attaques par téléphone se multiplient aussi : le vishing.
SNC – Face à ces attaques ciblées, comment fonctionne la plateforme Avant de Cliquer et quels sont les résultats à la Matmut ?
C. C. – L’humain, c’est la zone de risque, le vecteur de compromission et également la chaîne de valeur les plus importants. C’est la vision que nous partageons avec Avant de Cliquer.
Le collaborateur est le facteur manipulable et peut en réalité aussi devenir l’élément de renforcement pour l’ensemble de l’entreprise, dès lors qu’on arrive à développer des réflexes. Sur le plan de la cybersécurité, l’objectif n’est pas de se contenter de « sensibiliser » mais de développer ce réflexe : il faut que, sans réfléchir, les collaborateurs arrivent à identifier immédiatement le message de phishing qu’ils ont devant les yeux.
On ne peut pas se contenter de s’appuyer uniquement sur le niveau de connaissance ou de vigilance des gens. Il faut qu’on arrive à développer les réflexes qui conditionnent leurs clics inconscients.
Voici la méthodologie d’Avant de Cliquer : ils font une première campagne qui est un peu une prise d’empreinte. À ce premier test, l’utilisateur laisse passer en moyenne 14 % des messages frauduleux. À chaque erreur, l’utilisateur doit suivre quelques slides de sensibilisation d’une durée de trois minutes. Au fur et à mesure du temps, la courbe baisse pour arriver à 3 % en moins d’un an. Aujourd’hui, la moyenne est de 1 % !
SNC – Pourquoi et comment avez-vouschoisi la solution Avant de Cliquer ?
C. C. – On a fait plus de deux ans d’études de toutes les solutions du marché qui sont passées à notre portée et on ne connaissait pas Avant de Cliquer. On les a toutes testées, sur des pôles de 50 à 100 personnes. Certaines solutions proposaient trois ou quatre e-mails par an au sein de campagnes ponctuelles, c’était insuffisant. Elles mettaient à disposition des plateformes superbes, avec des templates d’e-mails à ne plus savoir qu’en faire. Mais cela prenait énormément de temps : il m’aurait fallu l’équivalent d’un ou deux temps plein pour s’occuper de la plateforme. On nous demandait de devenir des spécialistes : c’est un métier. Souvent, on n’avait pas assez de visibilité : on n’avait pas de tableaux de bord ou de KPI qui nous convenaient.
Puis on a découvert Avant de Cliquer. L’offre répondait à notre attente et était très bien positionnée au niveau du tarif. Cerise sur le gâteau, j’ai appris par la suite que c’était une société rouennaise, comme la Matmut !
SNC – Quels sont les points forts de la solution ?
C. C. – C’est le cumul de trois facteurs. L’offre est complètement managée. La campagne annuelle est perpétuelle : ça ne s’arrête jamais, avec une évolution dans la complexité des e-mails au fur et à mesure que les personnes se sensibilisent et développent leurs réflexes.
Nous bénéficions d’un accompagnement continu d’un point tous les mois avec notre correspondant d’Avant de Cliquer. L’entreprise s’adapte à nos besoins. Dernier point fort : la création de rapports mensuels et annuels, avec infographies et vrais éléments de visibilité.
SNC – La nouvelle fonctionnalité d’Avant de Cliquer, le « RSSI virtuel », est-elle un atout important ?
C. C. – Cette nouvelle fonctionnalité est très intéressante et nous regardons de près son évolution. Je la compare à un petit ange qui est au-dessus de l’épaule de l’utilisateur : c’est un programme qui le met en garde sur une utilisation potentiellement dangereuse (exfiltration de données, site Web suspect, etc.).
SNC – La plateforme contribue-t-elle à mobiliser les utilisateurs ?
C. C. – Le problème, c’est que nous sommes plusieurs milliers et l’erreur d’un seul peut affecter l’ensemble. Finalement, on ne peut pas surveiller tout le monde, donc chaque personne doit se responsabiliser. D’un autre côté, on doit donner les outils, les armes, la connaissance et l’entraînement aux collaborateurs parce que leur activité de tous les jours n’est pas la cybersécurité mais le remboursement des sinistres, la vente d’assurances, du support, de la comptabilité, etc.
Notre slogan en interne a été repris sur des kakemonos : « La cybersécurité : tous concernés, on a besoin de vous. » Je veux viser les 100 % de sensibilisation et de développement de réflexes afin d’avoir une organisation résiliente dans sa globalité.
SNC – Le groupe Matmut a lancé son nouveau plan stratégique 2024-2026, qui intègre notamment l’intelligence artificielle et la prévention dans l’ensemble de ses activités.
C. C. – La RSSI est partie prenante de façon transverse sur toutes les thématiques du plan. Parce que c’est nécessaire et parce que la réglementation l’y oblige. Aujourd’hui, tout projet doit être évalué en termes de sécurité dès son initialisation. Et il ne faut pas oublier qu’aujourd’hui une société d’assurances est en quelque sorte une société informatique. On vend un produit d’assurance mais on ne manipule que de la donnée personnelle. Et nous gérons également des données de santé, les plus sensibles en termes de données personnelles pour la Cnil.
Avant de Cliquer : sensibiliser par l’action
Avant de Cliquer propose une offre complète et automatisée qui couvre l’ensemble des risques humains en cybersécurité. Combinaison de simulations d’attaques, d’alertes contextualisées et de modules e-learning, la solution permet aux organisations de renforcer les bons réflexes et d’accompagner leur transformation numérique en plaçant l’humain au coeur de la stratégie de défense.
Entretien avec Carl Hernandez, cofondateur et cogérant
SNC – Quel est l’ADN d’Avant de Cliquer ?
C. H. – La raison d’être, la première brique d’Avant de Cliquer, c’est de sensibiliser les utilisateurs aux menaces extérieures, de les former par l’action et de faire de l’éducation au travers de situations réelles, sur le poste de travail.
À partir du moment où la personne fait une erreur, elle a une sensibilisation. L’idée, c’est d’apporter les connaissances nécessaires pour que cela ne se reproduise plus.
Pour les utilisateurs, la cybersécurité n’est pas leur métier de base, ni leur priorité et il faut distiller des informations de cybersécurité petit à petit pour développer des réflexes. C’est un réel défi d’impliquer les utilisateurs sans que cela soit perçu comme une contrainte, de les amener à comprendre et à accepter. C’est cela qui nous guide notamment dans la collaboration avec la Matmut : inculquer la cybersécurité et trouver différents moyens pour que, in fine, l’organisation soit protégée par les utilisateurs en développant leurs réflexes.
Pour que ce soit efficace, il faut que cela soit impulsé par les dirigeants.
Le spear phishing les attaques par SMS et le vishing (hameçonnage par téléphone) sont en plein essor. Nous avons commencé avec des établissements bancaires pour le vishing parce qu’ils sont très concernés. Et maintenant on en arrive à protéger des ETI qui sont confrontées à cette même problématique.
SNC – Présentez-nous votre nouveauté, le Real Time Situationnel Awareness, véritable « RSSI virtuel ».
C. H. – L’utilisateur est le facteur manipulable. Il ne connaît pas tous les process en interne et peut exfiltrer de la donnée par inadvertance. Le Real Time Situational Awareness n’est ni plus ni moins qu’un « RSSI virtuel ». Dans des situations à risque, telles que la visite d’un site de casino, l’ouverture d’un e-mail en quarantaine ou une connexion à un réseau Wi-Fi non autorisé, il va informer l’utilisateur en le formant sur le bon usage et les conséquences de son opération, sans pour autant prendre la main sur le poste de travail : le pilote à bord reste le RSSI et ses équipes. Le « RSSI virtuel » capte l’information, prodigue les bonnes pratiques et remonte l’information à la fois à l’utilisateur et au service informatique (par e-mail, par ticket ou SMS selon le contexte) pour corriger, évaluer et faire prendre conscience du risque.
Avec l’intégration du RTSA, Avant de Cliquer enrichit son positionnement : d’une solution axée sur la prévention des menaces externes, nous proposons désormais une offre complète et automatisée alliant prévention interne, pilotage par les DSI/RSSI et accompagnement dédié. Une réponse globale aux enjeux de cybersécurité dans la transformation numérique des organisations.
SNC – Parallèlement à la sensibilisation, quels autres services sont proposés par Avant de Cliquer ?
C. H. – Nous surveillons le dark Web afin de détecter d’éventuelles fuites de données et d’en alerter le RSSI. En complément, nous avons développé une solution qui signale toute tentative d’enregistrement de noms de domaine similaires à celui de l’organisation, réduisant ainsi les risques de typosquatting.
