Télétravail et cybersécurité : CNP Assurances met l'accent sur la prévention
Si dans certaines organisations, la généralisation du télétravail consécutive à la pandémie de Covid-19 a nécessité de déployer dans l'urgence des mesures de cybersécurité adaptées, d'autres ont récolté les fruits d'initiatives menées en amont. C'est le cas de CNP Assurances, pour qui la crise en cours s'est plutôt traduite par une réorientation de sa politique de sensibilisation. Lors d'une conférence en ligne organisée par CybelAngel, Frank van Caenegem, Group CISO (Chief Information Security Officer) chez CNP Assurances, est revenu sur le déroulement des dernières semaines dans son entreprise.
PublicitéLa crise du Covid-19 est venue chambouler les modes de travail dans de nombreuses organisations. DSI, CISO et RSSI ont souvent dû organiser cette transition en très peu de temps, afin de permettre aux collaborateurs qui le pouvaient de télétravailler dans de bonnes conditions. À cet égard, le groupe CNP Assurances faisait plutôt partie des chanceux, qui ont pu profiter d'une expérience antérieure sur ces enjeux. « Au sein du groupe CNP Assurances, nous avons mis en place le télétravail il y a quelques années, avec un niveau d'utilisation élevé. Grâce à cela, nos collaborateurs et partenaires disposaient déjà des outils et infrastructures nécessaires quand le confinement a été instauré : ordinateurs portables, VPN... » raconte ainsi Frank van Caenegem. « Durant les manifestations des gilets jaunes, nous avions déjà pu tester nos capacités et évaluer l'impact humain. La transition a donc été assez facile. Nous nous sommes davantage concentrés sur les enjeux liés aux relations humaines que sur les aspects techniques. Il était par exemple important de maintenir les réunions hebdomadaires pour éviter que chacun se retrouve isolé chez soi. »
Avec la mise en place du télétravail massif, des entreprises partout dans le monde ont observé une augmentation des tentatives d'attaques. Pour l'assureur, cette hausse est restée limitée. « Nous avons rencontré quelques tentatives de phishing en lien avec le Covid-19, mais pas tant que cela. Par ailleurs, beaucoup de ces mails sont en anglais, alors que nos collaborateurs sont majoritairement français », pointe le CISO du groupe. CNP Assurances profite également d'un dispositif qui était déjà en place. « Nous avons mis en oeuvre au sein du groupe un grand programme de sensibilisation sur le phishing, afin d'entraîner nos employés à reconnaître les menaces et à nous informer dès qu'ils détectent une campagne d'hameçonnage qui a réussi à passer les systèmes de filtrage », relate Frank van Caenegem. Ainsi, les utilisateurs étaient déjà familiarisés avec ce type de menace.
Agir rapidement pour prévenir les menaces
Avec le confinement, le groupe a néanmoins renforcé les messages de prévention sur l'Intranet et les différents canaux destinés aux employés. « Nous mettons également à profit l'intelligence collective avec nos partenaires, c'est très important. Nous sommes en lien permanent avec des organismes de veille comme le CERT-FR. Face au phishing, nous essayons d'agir rapidement pour prévenir les menaces. Si une autre entreprise observe une attaque 20 minutes avant nous et nous avertit, cela nous laisse le temps de bloquer les sites malveillants associés. Avec la crise, notre niveau de vigilance a un peu augmenté, mais les pratiques étaient déjà en place auparavant », insiste Frank van Caenegem.
PublicitéDans la situation actuelle, le recours au BYOD (Bring Your Own Device), qui consiste à utiliser des terminaux personnels pour travailler, peut tenter les collaborateurs, parfois mieux équipés chez eux que dans leur entreprise. Cependant, ce choix nécessite des mesures de cybersécurité adaptées. Pour éviter les problématiques liées à la sécurisation de ces terminaux, CNP Assurances a choisi de privilégier des équipements haut de gamme quand il a équipé ses salariés. « Quand vous fournissez les bons outils, avec des VPN éprouvés, des systèmes de partage de données adaptés, les employés sont moins tentés d'utiliser d'autres solutions », estime Frank van Caenegem. « Nous utilisons en complément des solutions comme CyberAngel pour surveiller d'éventuelles fuites d'information vers l'extérieur », précise Frank van Caenegem. « En termes de compréhension de ce qui se passe dans nos systèmes, je dirai que nous sommes assez matures. » Son équipe a néanmoins été confrontée à des demandes pour utiliser le service de vidéoconférence Zoom, que certains utilisateurs préféraient à l'outil en place, Microsoft Skype. « Nous les avons prévenus qu'il y avait davantage d'enjeux de sécurité avec cette solution. S'ils souhaitent l'utiliser, c'est uniquement pour des échanges très peu sensibles, et plutôt pour des conférences avec des interlocuteurs externes. »
Avec le télétravail, la sensibilisation englobe les usages privés
En tant que CISO du groupe, Frank van Caenegem participait régulièrement à des réunions avec les différentes directions pour sensibiliser managers et dirigeants à la cybersécurité. Avec son équipe, ils organisaient aussi des « security coffees », sessions matinales où ils se rendaient dans les différentes entités du groupe pour parler des enjeux de cybersécurité. Un moyen de toucher des publics variés et de susciter des vocations. « Souvent, ce sont les collaborateurs intéressés par la cybersécurité à titre personnel qui deviennent de bons relais », a constaté Frank van Caenegem. Depuis la mise en place du confinement, ces actions de sensibilisation sont plus difficiles à mettre en place, d'autant plus que le groupe privilégie les audioconférences, évitant la vidéo pour économiser la bande passante. « Nous avons mis beaucoup d'informations sur l'Intranet. Nous mettons également l'accent sur la sécurité dans le contexte familial. Les salariés se sentent davantage concernés, en particulier ceux qui ont des enfants, davantage exposés à Internet depuis le début du confinement. Nous leur conseillons des outils pour former les enfants et adolescents à la sécurité sur Internet. » Ce focus sur les usages privés est généralement apprécié des collaborateurs selon le CISO.
La crise actuelle est parfois perçue comme un déclencheur, qui force les organisations à effectuer leur transformation digitale très rapidement. Chez CNP Assurances, ce sentiment d'urgence n'a pas vraiment été ressenti. « Nous avions déjà mené beaucoup de projets dans le cadre de la transformation digitale, et nous sommes en bonne voie. La plupart de nos services fonctionnent bien avec le travail à distance », observe le CISO, qui poursuit, « pour pouvoir fournir un service au bon moment à nos clients, il faut digitaliser, car ceux-ci ne veulent plus attendre une semaine pour avoir une réponse. » Si Frank van Caenegem est convaincu de la pertinence de cette transformation pour les clients, il apporte cependant quelques nuances : « il est important d'accélérer, mais nous ne pouvons pas non plus tout digitaliser, car certains de nos clients utilisent encore le papier pour leurs démarches. Par ailleurs, la transformation numérique présente également des risques. En particulier, il ne faut pas négliger la mise en place d'un plan de sauvegarde indépendant pour la sécurité. »
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire