"Il y a un avant et un après" : comment la DGSI sensibilise durablement les entreprises au risque cyber
Dans l’imaginaire collectif, la Direction générale de la sécurité intérieure (DGSI) évoque un monde feutré d’espions opérant dans l’ombre. Pourtant, depuis une dizaine d'années, cette institution qui cristallise tous les fantasmes partage son expérience du risque cyber aux entreprises. Ce partage s'opère à travers des conférences que certains de ses agents dispensent dans les organisations. Selon plusieurs interlocuteurs, un peu plus de mille conférences de ce type sont organisées chaque année. Ce chiffre ne fait qu'augmenter en raison du nombre croissant d'entreprises qui souhaitent en bénéficier.
Et pour cause, ce dispositif, reconnu pour son efficacité, profite d’un bouche-à-oreille flatteur : "Dans l'ensemble, les retours des entreprises qui en ont bénéficié sont très positifs et insistent sur leur utilité. (…) Moi-même il m'est arrivé de conseiller à des clients de prendre contact avec la DGSI pour organiser ce type de conférences. Des clients ont donc pris contact avec elle et ont eu accès à ce service", indique Maxime, un cadre-dirigeant d'une entreprise de cybersécurité qui y a eu recours il y a quelques années (tous les prénoms de cet article ont été modifiés à la demande des interlocuteurs). Sollicitée par le JDN pour en savoir plus au sujet de ce service qu'elle propose, la DGSI n'a pas donné suite à notre demande.
Une sensibilisation adaptée à l'entreprise
En général, c'est l'entreprise qui demande de bénéficier de conférences de la DGSI pour sensibiliser ses collaborateurs au risque cyber. Il arrive toutefois que la DGSI propose elle-même son service à une entreprise d'un secteur sensible, confirme Maxime : "J'avais contacté la DGSI pour être aidé dans la gestion d'un incident cyber. L'agent qui est venu me voir m'a expliqué que la DGSI pouvait sensibiliser mes collaborateurs au risque cyber. La petite graine qu'il avait semée n'est pas tombée dans l'oreille d'un sourd. Plus tard, j'ai donc rappelé mon correspondant pour lui confirmer l'intérêt de mon entreprise de bénéficier d'une conférence de sensibilisation de leur part. Ils sont venus peu de temps après et en équipe".
La sensibilisation dure une demi-journée et s'organise en trois parties : "D'abord, le conférencier présente son service. Ensuite, vient la conférence de sensibilisation. Puis cela se conclut par un échange avec les collaborateurs de l'entreprise", précise Luc, dont l'entreprise bénéficie aussi de ce service de la DGSI. Lors de la conférence, "l'agent a une approche en entonnoir. Il part d'éléments très parlants qui visent à sensibiliser tous les citoyens pour arriver à des incidents et des faits qui peuvent directement concerner l'entreprise qu'il sensibilise. Cela va donc des méthodes d'approche dans le cadre de l'espionnage économique aux risques qui nous sont propres", affirme Maxime. "Le format de cette sensibilisation mélange de gros concepts qui ont vocation à irradier la réflexion et des éléments chocs adaptés à nos enjeux. Ils sont très ouverts à ce qu'on leur partage nos problématiques pour adapter leurs cas à notre contexte et avoir le plus d'impact possible sur l'auditoire. C'est très efficace", ajoute Luc.
Des conférenciers persuasifs
"Quand tu sors de la conférence, tu es choqué. Elle te convainc de changer ta posture cyber", observe Maxime. Et pour cause. "La DGSI possède une base d'incidents qui permet aux conférenciers d'illustrer leurs propos de manière très persuasive. (…) J'étais d'ailleurs étonné du niveau de partage de certaines informations. Evidemment, ils ne dévoilaient pas les noms des victimes mais ces informations étaient quand même très utiles. Parfois, la manière de les présenter, en les enrobant dans un storytelling d'agent secret un peu fantasmé, était peut-être un peu exagéré", concède Maxime.
Pourtant, c'est justement l'aura liée à la fonction d'agent de la DGSI qui rend ces conférenciers particulièrement persuasifs aux yeux de leur auditoire : "Cette sensibilisation est efficace en partie grâce à l'argument d'autorité que possèdent de facto ces conférenciers. Ils viennent et exposent des faits qu'ils sont les mieux à même de connaître puisqu'ils sont agents de la DGSI. Ils ont donc une bien plus grande capacité d'impact que le responsable de la sécurité des systèmes d'information de l'entreprise. Leur parole va naturellement être très écoutée", affirme Luc.
Leur force de conviction tient aussi à leur "grande pédagogie" qui se révèle particulièrement lors de leur échange avec les collaborateurs : "c'est très interactif entre les conférenciers et leur public. Ils illustrent leurs propos avec des éléments toujours marquants, des anecdotes, et des outils qui ajoutent une dimension réelle à celles-ci. Par exemple, la dernière fois, le conférencier avait utilisé un petit dispositif permettant de capturer tous les hotspot Wi-Fi de tous les collaborateurs qui avaient partagé leur connexion de leur téléphone. Ils nous ont démontré ce que cette absence de prudence de leur part leur permettait d'effectuer en termes d'attaque cyber, à travers les téléphones. Puis ils ont expliqué ce qu'ils avaient pu faire avec ce même dispositif dans les gares et les aéroports. Ça avait complètement choqué l'auditoire !", se souvient Luc avec amusement. "Dans le même genre d'anecdotes, ils avaient laissé traîner des clés USB dans l'entreprise, en espérant qu'un collaborateur en branche une", ajoute Maxime.
Une sensibilisation annuelle pour certaines entreprises
Cette sensibilisation est si efficace que certaines entreprises de secteurs sensibles ont décidé d'en bénéficier une fois par an. Elle sensibilise les nouveaux collaborateurs aux risques cyber et actualise les connaissances des autres sur les menaces émergentes. C'est par exemple le cas de l'entreprise de Luc : "J'ai fait le choix de mettre cette sensibilisation au cœur du processus d'onboarding et de notre politique de sécurité. C'est tellement intégré dans les processus internes que, lors des entretiens annuels, les nouveaux arrivants expliquent systématiquement qu'il s'agit d'un des temps forts de l'année. Cela prouve bien que cette demi-journée provoque un énorme impact sur les collaborateurs. Dans mon cas, il y a effectivement eu un avant et un après !", conclut-il.