Bernard Foray (RSSI, Casino) "Nous avons créé une mascotte pour délivrer nos messages"

Les dangers de l'Internet pour nos enfants et nos adolescents : c'est l'axe choisi par le groupe Casino pour sensibiliser le personnel de son siège. Ludisme et transposition à l'univers professionnel étaient clés.

Quelles sont vos initiatives en matière de sensibilisation ?

Nous avons démarré cette année une campagne de sensibilisation qui avait pour thème les dangers de l'Internet pour nos enfants et nos adolescents. Grâce à ce thème nous avons réalisé une transposition avec les risques dans le monde du travail.

Parler des dangers d'un blog ou d'une navigation internet aux enfants ou en parler dans l'entreprise revient souvent à la même chose. Il est vrai que l'entreprise est mieux protégée qu'un particulier, notamment par la mise en place de filtres pour bloquer l'accès aux sites malveillants. Globalement la démarche a donc été de sensibiliser par une approche personnelle les salariés de la société, pour ensuite le transposer à l'univers professionnel.

Cette campagne a-t-elle fait l'objet d'une segmentation des populations de l'entreprise ?

Cette année nous avons mis en place une campagne de communication ciblée. Evidemment, vous imaginez bien que mettre en place un tel évènement et faire venir quasiment 800 personnes demande du temps. Sur un plan logistique, cela réclame déjà une vaste salle pour accueillir l'ensemble du personnel à sensibiliser.

Pour le moment, nous avons fait le choix de ne pas segmenter. Néanmoins, dans un premier temps nous avons visé uniquement le personnel du siège, et ce, uniquement pour des raisons logistiques. Mais bien sûr, cette sensibilisation est appelée à être déployée au fil du temps auprès des différentes populations utilisatrices de l'informatique dans l'entreprise.

bernard foray assises2008
Bernard Foray (RSSI du groupe Casino) © Christophe Auffray

Quelles thématiques sont abordées ?

Les thématiques englobent les risques d'Internet, c'est-à-dire la navigation, les virus, et naturellement aussi le phishing. Car même si nous mettons des barrières, la multiplicité et la nature éphémère du phishing fait que c'est avant tout la sensibilisation qui permettra de se prémunir contre ces menaces.

La campagne aborde également la thématique des données : qu'est-ce qu'on importe et exporte comme données au travers de médias amovibles divers et variés que sont les CD, clés USB, les disques USB, etc. Cette opération vise concrètement à expliquer les dangers auxquels les utilisateurs sont exposés.

Le leitmotiv que nous essayons de diffuser dans ces sensibilisations c'est : 1, je reconnais les menaces, 2 je les comprends, et 3 j'agis en conséquence. Pour essayer de matérialiser ces trois items, nous avons essayé de faire un focus avec des mots : avisé, prudent et réactif.

Autre point capital que nous faisons passer au cours de ces journées de sensibilisation : il n'existe pas de question idiote. Les utilisateurs doivent être suffisamment conscients des conséquences possibles pour l'entreprise afin qu'ils viennent spontanément nous trouver.

De façon générale, quelle que soit l'entreprise, les utilisateurs éprouvent une certaine crainte, s'imaginant avoir réalisé une action non autorisée et donc qu'ils seront réprimandés s'ils le signalent. Bien au contraire, les utilisateurs perçoivent parfois des menaces ou détectent des vulnérabilités que nous ne pouvons pas toujours identifier. Les utilisateurs qui nous relayent ces risques participent activement à la protection de notre système d'information.

"Les utilisateurs doivent être conscients des conséquences possibles pour l'entreprise"

Avez-vous étudié les solutions de sensibilisation en ligne ?

C'est très séduisant. Mais il faut avoir du temps et une personne dédiée pour assurer le paramétrage et le suivi. Les questions doivent être ciblées en fonction de la population, avec le risque par conséquent d'être soit trop générales, soit trop complexes. Définir le bon jeu de question est donc loin d'être aisé.

Mais quoi qu'il en soit, selon moi, avant de passer à ce type d'outil, le pré-requis est de faire comprendre le rôle de la sécurité aux utilisateurs. Dans les entreprises, le personnel de sécurité est rarement, voire jamais, en contact direct avec les utilisateurs.

Il y a donc un travail, en amont, de communication à mener. Chez Casino, nous avons ainsi créé une mascotte, ludique, qui délivre nos messages sécuritaires. D'autres RSSI l'ont d'ailleurs déjà fait. Sans être original, cela permet d'avoir un fil conducteur et d'avoir une approche assez ludique.

Quels services de l'entreprise ont été associés ?

Une campagne est un travail d'équipe, notamment avec la direction de la communication. L'opération a rencontré un franc succès. Nous avons communiqué auprès du personnel sur le fait que l'initiative ne s'arrêterait pas là. C'était juste un point de départ pour amorcer la prise en compte de la sécurité.

Ensuite nous continuerons à faire des sensibilisations, soit par l'envoi de messages flash de la mascotte, soit avec les outils en ligne. C'est tout à fait possible, même si pour l'instant ce n'est pas dans nos plans d'étudier des quizz ou autres questionnaires.

"La direction, et également toute la partie middle management, a bien accueilli la campagne"

Avez-vous déjà des indicateurs de mesure de l'efficacité de la campagne ?

L'opération est encore très récente. Mais nous avons l'intention de bâtir un questionnaire pour obtenir un retour. Néanmoins, des retours terrains nous sont déjà parvenus. Les utilisateurs, spontanément, sans que nous ayons eu à les solliciter, sont venus nous trouver pour faire part de leur enthousiasme.

Quelle a été l'implication de la direction dans le projet ?

Extrêmement bonne. La direction, et également toute la partie middle management, a bien accueilli la campagne, l'a comprise, et sponsorisée. En tant que RSSI, je ne pouvais pas espérer mieux.

Dans le domaine de la distribution, quels sont les principaux risques à couvrir ?

En termes de risques business, c'est toute la supply chain qui est à risque. Vous vous doutez bien que les livraisons doivent impérativement se faire dans les magasins. Cela nécessite, entre autres, d'assurer une continuité de service maximale côté IT.

Les autres domaines sont l'intégrité et la confidentialité. Sur ces aspects, un certain nombre d'informations sont à protéger. En ce qui concerne l'intégrité, les nombreux flux entre les applications rendent indispensable une rigueur  dans le développement et la surveillance de nos applications. Il s'agit globalement de bonnes pratiques, que nous contrôlons par des indicateurs.

Vos évoquez des bonnes pratiques. La norme ISO 27 000 en fait-elle partie ?

Cobit, ITIlL, ISO, PCI-DSS, toutes ces normes ont le mérite de fournir un canevas et une ligne de conduite pour implémenter la sécurité. Chez Casino, nous comptons notamment plusieurs certifiés : Lead Auditor 27 001 et CISSP. Cette culture doit être déclinée sur la sécurité que nous mettons en place. Les normes font donc partie de notre travail quotidien.

Quelle est votre stratégie en matière d'audit ?

Les audits font partie de notre politique générale de sécurité. Nous nous y préparons avec beaucoup de sérieux. En effet, il ne viendrait à personne l'idée de mener sa voiture à un contrôle technique alors que l'on sait pertinemment qu'une contre visite sera obligatoire car un élément n'est pas dans les normes. Pour les audits c'est donc pareil, le travail se mène avant tout en amont.