Découvrez les principales tendances qui vont marquer l’année 2025, avec des idées pour s’y préparer. En savoir plus.

Comment 3 minutes de formation SoSafe par semaine ont permis à Freudenberg de déjouer une tentative de fraude qui aurait pu lui coûter 2 millions d’euros

Freudenberg Home and Cleaning Solutions GmbH a intégré la sécurité dans sa culture d’entreprise en sensibilisant directement les collaborateurs via leurs boîtes mail.

Taux de clics:

-82,5 % (en 18 mois)

Note donnée par les employés à SoSafe:

4,8/5

Délai d’intégration :

2 jours

Freudenberg
Sosafe logo
Video thumbnail

Produits:

  • Micro-apprentissage Personnalisé
  • Simulations de Phishing et Bouton d’Alerte Phishing
Demander une démo
Freudenberg

Surtout connue pour ses marques d’articles ménagers comme Vileda®, Freudenberg Home and Cleaning Solutions GmbH est membre du groupe Freudenberg. Fondé il y a 170 ans dans une tannerie de Weinheim, en Allemagne, le groupe est aujourd’hui un grand nom de la technologie, présent sur 40 marchés dans le monde entier. SoSafe a travaillé avec Martin Schmidt, Directeur Général de la consultance numérique, pour sensibiliser le personnel de Freudenberg à la cybersécurité.

Lors du congrès HuFiCon 2022, Martin Schmidt avait présenté les efforts de Freudenberg pour construire une culture de la sécurité résiliente et collaborative dans un contexte multinational. Trois ans plus tard, le personnel de Freudenberg est devenu un véritable pare-feu humain. Voici leur histoire : entre micro-apprentissage, compétitions bon enfant et pédagogie axée sur l’humain.

Face aux cybermenaces personnalisées, les formations doivent suivre le même axe

En 2018, Freudenberg a failli perdre 2 millions d’euros dans une traditionnelle fraude au président. Le groupe a reçu un e-mail frauduleux au sujet d’un « rachat confidentiel », avec des appels pressants et même une fausse facture, le tout en l’espace de trois heures.

Cet incident les a poussés à revoir en détail leur manière de fonctionner. Certes, Freudenberg possédait une infrastructure informatique solide, mais les attaquants parvenaient à s’infiltrer par le biais du personnel. Si les humains sont capables de détecter les signes avant-coureurs d’une menace, il suffit parfois d’une erreur, d’un abus de confiance ou d’une hésitation pour ouvrir la porte aux cyberattaques. La véritable faille était là.

Il fallait y remédier en sensibilisant les employés. Il fallait leur expliquer à quoi ressemblent les menaces actuelles, comment les repérer, comment les anticiper et ce qu’il faut faire en cas de fausse manipulation.

La mission de Martin et de son équipe n’est pas simplement de former les employés à l’utilisation des outils numériques, mais aussi de leur inculquer des compétences comportementales. Ils ont donc décidé d’aborder le problème sous un angle essentiellement humain : en mettant le personnel au cœur de leur approche.

Les tentatives de formations traditionnelles, de type scolaire, ou de sessions ouvertes à tous les volontaires ont révélé une triste vérité : peu de gens y assistaient. La méthode qui consistait à réunir tout le monde sur un même site, à tenter d’impliquer les cadres dans la démarche de sensibilisation, à surveiller le nombre d’inscriptions et l’assiduité ne fonctionnait tout simplement pas. À croire que les collaborateurs étaient naturellement résistants à toute forme de sensibilisation… Loin de céder à la fatalité, Martin s’est alors dit qu’il suffirait peut-être de délivrer la formation directement dans le contexte professionnel des employés. « La seule façon, je pense, d’obtenir que tout le monde participe, était d’envoyer les défis directement dans les boîtes mail des utilisateurs. »

Martin et son équipe ont saisi une vérité que nous constatons tous sans vraiment prendre le temps de nous y arrêter : la surcharge d’informations nuit à notre motivation et à notre capacité à apprendre. Martin l’a bien compris : « …il faut avoir une idée précise de la méthode que vous allez employer pour transmettre ces connaissances aux gens, de telle façon qu’ils puissent véritablement les voir, les apprendre et les intérioriser. » Dans un contexte où nous sommes constamment soumis à un flot de contenus, nous zappons facilement les informations qui ne nous semblent pas urgentes. Et souvent, nous nous réveillons parce qu’une catastrophe s’est produite, comme ce fut le cas avec la tentative de fraude qui a failli coûter cher à Freudenberg.

Voici les conseils de Martin : « Trouvez un créneau et dégagez du temps pour les formations. Décomposez la formation en très petites unités – ce que l’on appelle micro-apprentissage – que vous enverrez, par exemple, au point de rupture, lorsque la motivation pour apprendre est très forte. Ainsi découpée en séances de cinq minutes, elle s’intégrera sans problème dans des emplois du temps surchargés. Les échecs sont des instants où la motivation pour apprendre est très forte : tout le monde cherche à apprendre de ses erreurs. »

Le Micro-apprentissage Personnalisé de SoSafe s’appuie sur des principes de sciences comportementales et est conçu pour s’adapter aux contextes. Il dispense des micro-formations prêtes à l’emploi, sur le thème de la cybersécurité, qui s’intègrent dans tous les emplois du temps.

Chaque utilisateur suit un parcours personnalisé, adapté à ses besoins, de telle sorte que les contenus présentés sont toujours utiles et stimulants. L’approche gamifiée ajoute une dimension de défi, de récompense et de dynamique, pour que la formation ne soit pas une corvée et que l’apprenant·e puisse prendre conscience de ses progrès. Résultat ? Une vigilance sur le long terme, une conformité toujours au rendez-vous, et des équipes avec une longueur d’avance.

Pour citer Martin : « La formation continue est au cœur de mon métier. L’agilité d’apprentissage est au cœur de l’identité d’un natif du numérique et reste une compétence indispensable pour percer sur le marché au XXIe siècle. »

Moi aussi, je me suis fait avoir

Martin et son équipe ne sont pas passés d’une formation scolaire au micro-apprentissage personnalisé du jour au lendemain : ils ont dû s’assurer que cette stratégie était la bonne et aurait un impact durable.

Pour vérifier l’efficacité de la nouvelle formation, Freudenberg a lancé une campagne de phishing. L’objectif ? Habituer les internautes à détecter des menaces en temps réel. En 18 mois, le groupe a réduit son taux de clics – le pourcentage d’utilisateurs ayant cliqué sur un lien dans une simulation de phishing – qui est passé de plus de 20 % à seulement 3,5 %.

Pour parvenir à un tel résultat, l’équipe de Martin et SoSafe ont dû définir une stratégie claire et travailler en étroite collaboration, depuis l’intégration des nouveaux utilisateurs jusqu’au déploiement de la simulation… Et même au-delà.

Martin se souvient : « Le Responsable Relations Clients nous a aidé à intégrer les utilisateurs et à déployer le programme, très rapidement, en quelques semaines à peine. Sans ses conseils, ça n’aurait pas été possible. »

Cette collaboration a été riche en enseignements.

Pour être efficaces, les modèles de phishing devaient correspondre aux menaces en vogue dans le monde réel. Après avoir atteint un taux de clics de 3,5 %, l’équipe de Freudenberg a décidé de ne pas s’arrêter en si bon chemin. Plutôt que de chercher absolument à atteindre le « zéro clics », elle a augmenté la difficulté en créant des simulations plus réalistes, avec des pièges dans lesquels il était plus facile de tomber.

« Notre score sera peut-être moins bon, avait dit Martin, mais notre entreprise sera mieux armée. »

L’équipe s’est aussi intéressée au renforcement positif. Le Bouton d’Alerte Phishing de SoSafe a été mis à la disposition des utilisateurs pour les inciter à signaler les e-mails suspects, plutôt que de simplement les supprimer. Le plug-in confirmait aux internautes qu’ils avaient fait le bon choix et leur fournissait quelques conseils et explications complémentaires.

Martin a très vite remarqué que « ce système permettait aussi, dans le même temps, de diminuer le nombre de tickets envoyés dans le cadre de la simulation de phishing. Comme tout est pris en charge par le bouton d’alerte, les signalements que nous recevions correspondaient davantage à de véritables tentatives de phishing. »

L’équipe de Martin a su tirer le meilleur parti du tableau de bord analytique de SoSafe. En s’appuyant sur les données détaillées fournies sur le nombre d’inscriptions, de clics, les taux d’achèvement et les différents indicateurs spécifiques aux utilisateurs, elle a pu assurer un suivi actif de l’engagement et identifier les domaines nécessitant un soutien ou une assistance supplémentaire ce qui a amélioré à la fois l’efficacité des formations en ligne et celle des simulations de phishing.

En gardant le principe de « privacy by design » comme base, ils ont rapidement fait participer le comité d’entreprise (qui représente les salariés au niveau de l’entreprise). Toutes les données recueillies dans le cadre des simulations étaient anonymisées et la protection des informations personnelles concernant les employés était assurée par SoSafe dans le cadre de sa conformité au RGPD.

Pour que le rythme de formation reste régulier sans pour autant surcharger les utilisateurs, l’équipe a décidé de lancer un défi par mois. Cette cadence était suffisante pour conserver un certain dynamisme et garantir que la sécurité ne soit jamais reléguée au second plan.

L’une des idées les plus créatives de Freudenberg ? Le processus gamifié. L’objectif n’était pas simplement d’instaurer une cyberrésilience, mais d’aiguiser la curiosité du personnel, de maintenir la motivation et l’engagement au maximum. Comment ? En jouant sur un esprit de compétition bon enfant. Chaque trimestre, l’équipe partageait des nouvelles et publiait le nom des vainqueurs des différents défis de phishing menés au sein de l’entreprise. La cybersécurité est devenue un sport d’équipe et un sujet de conversation quotidien.

Et le mieux, dans tout ça ? Les gens avaient hâte de pouvoir « faire mieux la prochaine fois ».

Grâce à des scénarios réalistes, adaptés aux fonctions des différents membres du personnel, les Simulations de Phishing Personnalisées ont permis d’installer une réelle vigilance face aux menaces du quotidien. Pour être systématiquement pertinente, chaque simulation s’adapte aux comportements humains. Les employés apprennent à repérer les dangers lorsqu’ils surgissent « dans la vraie vie ».

Le pare-feu façon gruyère de Freudenberg

Martin et son équipe ont travaillé en tenant compte des différences culturelles entre les régions, de façon à offrir des conseils sur mesure aux employés à l’international.

Pour expliquer le rôle des humains dans le domaine de la sécurité, Martin a utilisé une métaphore facile à comprendre : les trous du gruyère.

Tout comme le gruyère, les différents niveaux de défense informatique ont des trous. Mais si vous empilez ces couches et y ajoutez un pare-feu humain, les trous d’une couche sont couverts par la couche supérieure, et ainsi de suite. Ainsi assemblées, elles forment une ligne de défense solide.

Martin a beaucoup aimé l’approche proposée par SoSafe, non seulement pour sa qualité technique, mais aussi pour son axe profondément humain.

Comme il l’explique lui-même : « Je pense que vous êtes la seule société à avoir abordé ce problème en dépassant le point de vue purement technique pour adopter un angle psychologique. Pour moi, c’est la clé : nous parlons ici de comportements humains, et non de paramètres pour une nouvelle infrastructure. »

Martin a également été impressionné par le niveau de service offert : « Passer d’une approche de type “boîte à outils” à une approche intégrant un service client de A à Z, c’est un changement radical. Pour moi, en tant que client, c’était important. Et je pense que c’est le cas pour beaucoup d’entreprises. »

Le parcours de Freudenberg montre qu’en cherchant à mettre la cybersécurité à la portée de tous, en proposant une formation pratique et en complétant le tout avec les données et l’assistance nécessaires, on peut réellement faire évoluer les comportements. C’est là que commence vraiment la sécurité.

Avec SoSafe, vous pouvez faire en sorte que la sensibilisation à la cybersécurité soit plus qu’une formation annuelle. Vous pouvez l’intégrer dans la façon de travailler, de penser et de réagir de vos équipes, au quotidien.

Conformité et sécurité

ISO 27001
TISAX
GDPR

Reconnaissance du secteur

G2 Europe Leader Winter 2025 G2 Leader Winter 2025

Découvrez nos produits de première main

Utilisez notre environnement de test en ligne pour voir comment notre plateforme peut vous aider à donner à votre équipe les moyens d’éviter en permanence les cybermenaces et de préserver la sécurité de votre organisation.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025