Informations clés
Contexte
L'entreprise, spécialisée dans la LegalTech et basée à Paris, fournit des solutions innovantes pour la gestion et l’analyse de données juridiques. Avec 160 salariés, son activité repose sur des flux d’informations hautement sensibles, notamment liés aux données personnelles et documents confidentiels de ses clients.
Dans le cadre de sa démarche de conformité à la norme ISO 27001, l’entreprise a identifié les cyberattaques comme un risque critique, en particulier le phishing, qui représente une porte d’entrée courante pour les attaquants.
La direction a souhaité mettre en place une stratégie de sensibilisation à long terme afin de réduire les risques liés aux comportements humains, souvent la première ligne de défense. Le projet s’inscrit dans un objectif global d’amélioration continue des pratiques de cybersécurité et de renforcement de la vigilance des employés face à des menaces de plus en plus sophistiquées.
Besoins
- Accroître la vigilance des collaborateurs face aux tentatives de phishing, en les sensibilisant aux signaux d’alerte et en renforçant leur capacité à détecter des e-mails frauduleux.
- Réaliser des campagnes de phishing personnalisées, en tenant compte des différents services, niveaux de responsabilités et outils utilisés dans l’entreprise.
- Mesurer et analyser les résultats des simulations pour identifier les points faibles, suivre les progrès réalisés et ajuster les actions de sensibilisation.
Challenges
- Hétérogénéité des niveaux de culture en cybersécurité : Certains collaborateurs, peu familiers des pratiques de sécurité, risquaient d’être facilement compromis, tandis que d'autres avaient déjà des bases solides.
- Comparaison des résultats : Avec plusieurs campagnes prévues sur un an, il était essentiel de pouvoir comparer les performances pour évaluer les progrès.
- Collecte et interprétation des signalements : La diversité des outils et des canaux utilisés par les collaborateurs compliquait la centralisation et l’analyse des retours sur les e-mails suspects.
Solutions apportées par Cyberlift
1. Campagnes de phishing simulées
- Organisation de quatre campagnes réparties sur un an, avec des scénarios variés et adaptés au contexte de l’entreprise et un niveau de difficulté graduel en fonction du niveau de maturité.
- Ciblage personnalisé pour chaque département, intégrant des éléments spécifiques à leurs activités quotidiennes.
2. Formation interactive et continue
- Sessions de formation dédiées, basées sur les résultats des campagnes, pour aider les collaborateurs à comprendre leurs erreurs.
- Ateliers pratiques pour analyser en direct des exemples de phishing réels et simulés.
3. Sensibilisation passive
- Mise en place de supports de sensibilisation tels que des affiches, des fiches pratiques et des rappels réguliers par e-mail.
- Intégration de messages de prévention dans les outils internes (ex. : signatures e-mail et portails intranet).
4. Analyse et suivi des progrès
- Utilisation d’outils d’analyse avancés pour suivre les indicateurs clés (taux de clics, taux de compromission, taux de signalement).
- Rapports détaillés après chaque campagne, incluant l’évolution des différentes métriques et des recommandations spécifiques pour améliorer la résilience.
Résultats et bénéfices
- Collaborateurs mieux sensibilisés : Une meilleure prise de conscience des menaces, même parmi les employés initialement peu formés à la cybersécurité. Nous avons constaté une baisse de 88% du taux de compromission et de 83% du taux de clic.
- Réduction du risque organisationnel : Une diminution tangible des risques liés au phishing, renforçant la posture de sécurité globale.
- Visibilité accrue pour la direction : Des indicateurs clairs sur les points faibles et les progrès réalisés, permettant d’ajuster la stratégie de sensibilisation.
- Renforcement de la confiance des clients : En démontrant une approche proactive en matière de cybersécurité, l’entreprise a consolidé sa crédibilité auprès de ses clients et partenaires.
.svg){kind=icon}
