Projets

Somfy sensibilise à la cyber avec une série de fiction audio

Somfy sensibilise à la cyber avec une série de fiction audio
Pour rendre sa campagne attractive, Somfy a installé des affiches de promotion de son podcast sur ses sites et réalisé une bande annonce pour chaque épisode. (Photo : Somfy)

Un podcast audio en huit épisodes. C'est l'outil que Somfy a choisi pour sensibiliser ses équipes, en particulier en usine, à la cybersécurité. Passionnés par les aventures réalistes du hacker Jack Stones, les employés de l'entreprise ont bel et bien adopté de nouveaux réflexes.

PublicitéSur l'écran, la bande-annonce d'une série d'espionnage à la Netflix. Le personnage principal s'appelle Jack Stones. Depuis sa prison, ce hacker de renom raconte les arnaques les plus impressionnantes de sa carrière. Pourtant, cela ne se passe pas sur la plateforme de streaming californienne, mais chez le spécialiste français des ouvertures automatisées pour habitations et bâtiments Somfy. Et la série présentée est en réalité un podcast audio que l'entreprise a concocté pour sensibiliser et acculturer l'ensemble de ses équipes à la cybersécurité. La première saison a été lancée durant le mois de la cyber en octobre 2022, avant qu'une deuxième ne suive l'année d'après.

Lorsque Sébastien Valsemey, RSSI groupe de Somfy, est arrivé dans l'entreprise en 2020, il a en effet constaté un défaut important de culture cyber. Conscient de la difficulté d'informer et de former efficacement et durablement sur ce sujet, il a opté pour le format du podcast audio « Ne faites pas entrer le hacker », sur les conseils de l'agence de communication Gardeners. Un outil attractif et ludique pour mobiliser un maximum d'employés, mais un outil qui se devait aussi d'être efficace.

Sensibiliser les équipes en usine

Les aventures de Jack Stones s'inspirent ainsi de situations réelles susceptibles de se produire chez Somfy, transposées dans des entreprises fictives mais au fonctionnement proche. « Il s'agit à la fois que l'on ne reconnaisse pas l'entreprise et qu'on ne pointe pas du doigt des comportements rencontrés chez nous, mais que les employés s'identifient néanmoins à l'histoire et à la situation, raconte le RSSI. Nous avons créé pour l'occasion des groupes industriels fictifs avec une activité légèrement différente de celle de Somfy, mais qui permettent de reconnaître les risques auxquels Somfy est confronté. Il faut que cela suscite l'intérêt, que cela ne crée pas de peur, que cela ne stigmatise pas non plus ».


Pour Sébastien Valsemey, RSSI groupe de Somfy, le podcast permet « à la fois que l'on ne reconnaisse pas l'entreprise et qu'on ne pointe pas du doigt des comportements rencontrés chez Somfy, mais que les employés s'identifient néanmoins à l'histoire et à la situation" (Photo E.Delsol - à l'occasion de l'événement Cybershow Paris, le 29 janvier 2025)

Cette initiative a eu plusieurs déclencheurs. Des statistiques réalisées à la suite de campagnes de phishing montraient, par exemple, que l'entreprise avait dans l'ensemble une faible perception du risque numérique. Mais surtout, le groupe déploie déjà depuis plusieurs années un ERP unique dans toutes ses usines, qui a fait entrer le numérique sur les sites de production, et exige désormais une plus grande prise de conscience des risques associés par les équipes concernées. Sébastien Valsemey préfère d'ailleurs parler de sécurité numérique que de cybersécurité. « Un des mandats qui m'a été confié dès le départ a été de développer cette culture cyber dans les usines, rappelle-t-il. Nous voulions aussi bien cibler des populations de RH ou de DAF que de production ». Pour le dirigeant, le projet devait casser l'idée répandue que la cybersécurité n'est qu'une affaire de RSSI.

PublicitéLa forme du podcast, aussi importante que le fond

« Quand je suis arrivé, poursuit Sébastien Valsemey, ma phase d'observation, de découverte de l'entreprise, m'a donné l'occasion d'identifier les mauvais réflexes, les comportements à risque... Et c'est à partir de cela que nous avons listé les messages clés liés à la sécurité du poste de travail, à la sécurité des accès, au télétravail, etc. » À partir de ces comportements, le RSSI et son agence de communication ont conçu des scénarios pour chaque impact cyber. « En contextualisant, dans le podcast, nous voulions mettre en évidence le fil conducteur entre un comportement, une mauvaise habitude, et les risques pour l'organisation ou le collaborateur. Un geste anodin comme le prêt de son badge à un collègue peut conduire à ce qu'une personne malveillante entre dans l'entreprise, pénètre dans le réseau voire, plus grave, provoque un arrêt de production ».

À côté du contenu proprement dit, le RSSI a été très attentif à la forme du podcast. Ses équipes, son agence et lui sont allés jusqu'à créer un dispositif parallèle de promotion du podcast, assez conséquent. Comme pour un lancement de film au cinéma, cela s'est traduit par une bande-annonce, des messages sur le réseau social interne pour le lancement de chaque épisode et des affiches sur certains sites. « Il fallait diffuser auprès de 6 500 personnes dans 59 pays, avec une temporalité relativement cohérente » précise le RSSI. Somfy a aussi travaillé sur un son spatialisé, allant jusqu'à enregistrer les bruits en usine, pour immerger les employés auditeurs dans un quotidien d'entreprise industrielle réaliste. « Cette immersion constitue réellement un moyen beaucoup plus efficace que de placer quelqu'un devant un écran pour répondre passivement à un questionnaire », insiste Sébastien Valsemey.

2500 auditeurs uniques sur 6500 employés

Le podcast a, sans nul doute, été un succès en matière d'audience. Dès le premier mois, plus de 2500 employés ont écouté au moins un épisode de la série. « C'est impressionnant, car pour ceux qui ont écouté 4 épisodes, cela signifie que nous avons réussi à capter 40 minutes de leur temps d'attention sur un mois ». Et la série semble aussi avoir prouvé son efficacité. Si l'évolution du niveau cyber des équipes n'a pas été mesuré directement, Sébastien Valsemey affirme avoir constaté à plusieurs reprises que certains employés avaient refusé d'ouvrir un mail du Comité d'entreprise ou de la communication interne qui s'écartait un peu de la charte, par crainte d'un piratage. Le podcast a donc bien renforcé la culture cyber, mais également conduit ces services de communication à être plus rigoureux dans la diffusion de contenus aux employés. « Une double dynamique qui a contribué à renforcer la confiance dans les usages numériques », conclut le RSSI.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Utilisez-vous majoritairement vos propres données pour alimenter vos IA ?