Cybersecurity
De la réaction à l’anticipation : mesurer et renforcer la résilience
Rudolphe Proust, Directeur des Risques Groupe chez Altarea
Une organisation résiliente n’est pas celle qui évite les incidents : c’est celle qui sait y répondre et reprendre rapidement son activité normale. C’est le point de départ de la réflexion menée par Rudolphe Proust, Directeur des Risques Groupe chez Altarea. Avec une expérience de plus de vingt ans dans la cybersécurité et un périmètre couvrant aussi bien les centres commerciaux que les data centers, il incarne une approche transverse et pragmatique de la gestion du risque humain.
Les limites des programmes de sensibilisation statiques
Chez Altarea, la prise de conscience s’est imposée par les faits. Une entité de la holding du président fondateur a été victime d’une attaque révélatrice des risques actuels. Un commercial, ciblé dans le cadre d’une transaction immobilière haut de gamme, reçoit un message indiquant que son client ne peut se connecter via l’outil habituel et lui transmet un lien de réunion alternatif. En cliquant, il croit rejoindre une visioconférence. En réalité, ses cookies de session sont compromis. Les attaquants se sont baladés pendant quinze jours dans le système avant que la fraude ne soit détectée, uniquement parce qu’un notaire avait signalé une tentative de changement de RIB frauduleux portant sur 200 000 €.
Ce type d’attaque n’est pas sophistiqué sur le plan technique. Il exploite la routine, la confiance et la rapidité d’exécution propres aux environnements à fort rythme commercial. C’est précisément ce que les modules de formation de trente minutes ne permettaient pas de contrer. Rudolphe Proust l’admet sans détour : au bout de dix minutes, ses équipes passaient à autre chose. L’outil était devenu, selon ses mots, « complètement inutilisé ».
Ce constat pointe une réalité que les équipes de sécurité connaissent bien : les employés les plus jeunes, nés avec l’informatique, sous-estiment ces risques. Parce qu’ils maîtrisent les outils numériques, ils pensent maîtriser aussi les menaces qui vont avec.
Vous souhaitez approfondir ces éléments de réflexion ? Visionnez l’enregistrement de la session Signal Paris pour découvrir l’intégralité des échanges.
L’IA au service de la sensibilisation continue et ciblée
La transition chez Altarea est passée par une refonte complète du format de formation. En adoptant des modules courts de trois à quatre minutes, réguliers et espacés sur le calendrier, le groupe a observé une transformation immédiate de l’adhésion des équipes. Les rappels automatisés, la fréquence modérée et la brièveté des contenus ont produit ce que les sessions longues n’avaient jamais obtenu : un engagement mesurable. C’est dans ce cadre qu’Altarea s’appuie sur SoSafe pour déployer ses campagnes de sensibilisation et de simulation de hameçonnage.
Ce changement s’inscrit dans une tendance de fond que les plateformes modernes rendent aujourd’hui accessible : transformer des politiques de sécurité statiques en expériences d’apprentissage actives et contextuelles. Le principe dit de « Policy to Lesson » répond exactement à la contrainte terrain qu’Altarea a identifiée : les équipes n’ont ni le temps ni la motivation pour des contenus denses. Ils adhèrent, en revanche, à des formats courts et directement liés à leur quotidien.
Sur le sujet de l’intelligence artificielle, Altarea a fait un choix tranché. Plutôt que de bloquer les accès aux outils d’IA grand public, le groupe a fourni à ses collaborateur·rice·s un environnement sécurisé via Copilot Pro, intégré à l’écosystème Microsoft 365.
« On est allé chercher l’adhésion plutôt que d’interdire »
Pour ancrer cette culture dans la durée, Altarea a institué des « cafés IA » hebdomadaires : chaque jeudi matin, un membre du Comex vient présenter ses usages de l’IA aux équipes. Ce format de quarante-cinq minutes n’est pas anodin. Il signale que la direction ne se contente pas de communiquer des règles : elle montre l’exemple.
Mesurer le retour sur investissement réel de la gestion du risque humain
La question de la mesure est au cœur de la stratégie d’Altarea. Rudolphe Proust suit deux indicateurs clés : le taux de clic sur les simulations de hameçonnage et le taux de signalement des e-mails suspects. Ces données comportementales en temps réel lui permettent d’adapter les campagnes à chaque population. Un directeur de construction, souvent sur le terrain et peu exposé aux échanges numériques avec des tiers, ne présente pas le même profil de risque qu’un collaborateur du data center certifié ISO 27001 et en cours de certification HDS.
Cette logique prend tout son sens avec l’exemple de la filiale attaquée. Le commercial ciblé vendait des biens immobiliers entre 200 000 € et plusieurs millions d’euros sur la Côte d’Azur. Sa visibilité commerciale, ses échanges fréquents avec des tiers et la valeur des transactions le rendaient particulièrement attractif pour des attaquants en quête de détournement de fonds. Cette réalité n’était pas intégrée dans le dispositif de sensibilisation de l’entité concernée.
Avec les campagnes ciblées, dès que les indicateurs se dégradent – hausse du taux de clic, baisse des signalements –, Rudolphe Proust en informe directement le responsable de la sécurité des systèmes d’information du groupe. Ce dialogue permanent entre gestion des risques et équipes opérationnelles est la condition d’une réponse rapide et pertinente.
« En posant des petites pierres, on arrive à construire des grands immeubles. »
Comme l’explique Rudolphe Proust, la résilience ne s’improvise pas lors d’une crise : elle se construit, métrique par métrique, campagne après campagne.










