La campagne de sensibilisation de WAGO s’est déroulée dans 30 pays et a touché un large public, y compris les familles à la maison
Au cœur de la campagne de sensibilisation imaginée par WAGO et SoSafe : un déploiement international, pensé pour avoir un impact individuel.
Score comportemental:
Passé de 65 à 91 (sur 100)
Produits:
- Formation Personnalisée
- Simulations de Phishing et Bouton d’Alerte Phishing
WAGO est un groupe familial fondé en 1951 à Minden, en Allemagne, par deux beaux-frères ayant décidé d’acheter un brevet dont ils avaient entendu parler au cours d’une partie de cartes. Aujourd’hui, la société est un grand nom du secteur des connecteurs électroniques, de l’automatisation et de l’électronique d’interface, qui emploie 9 000 personnes dans 80 pays.
David Kreft, RSSI de WAGO, est responsable de la cybersécurité, de la protection des données et de la continuité des opérations. Avec son équipe, il a cherché à inscrire la cybervigilance au cœur du quotidien des employés et de leurs familles, dans les 30 pays où le groupe est présent et en 21 langues.
Lors du congrès HuFiCon 2022, il a présenté la campagne mise au point par WAGO pour sensibiliser toutes les équipes, sur tous les fuseaux horaires, en plaçant l’humain au centre. Voici l’histoire d’une sensibilisation réussie grâce à une démarche à la fois descendante et ascendante… qui commence par l’humain.
Qu’y a-t-il dans les boîtes mail de WAGO ?
L’e-mail reste le vecteur d’attaque le plus fréquent et David est bien conscient que pour contrer cette tendance, il faut plus que des filtres et des pare-feu. Il faut comprendre les comportements des employés lorsqu’ils reçoivent ces messages.
Selon le rapport de l’ENISA sur les cyber-menaces, les e-mails sont responsables de 11 cybermenaces sur 15. « Les e-mails arrivent directement jusqu’aux employés, explique David. En un clic, ils peuvent être contaminés par un malware, se faire voler leurs identifiants et mots de passe, etc. »
Pour montrer l’ampleur du défi, il détaille le rapport mensuel des menaces reçues par e-mail chez WAGO. Son équipe filtre 80 % des e-mails entrants sur la base de la réputation IP, des pièces jointes et des URL. En général, elle bloque les menaces. Mais le vrai problème est posé par les risques inconnus qui représentent plus de 11 000 e-mails contenant des pièces jointes ou des liens corrompus.
Pour David, c’est une évidence : « Il est peu probable que les utilisateurs puissent savoir si le lien cache quelque chose. »
Le phishing reste le mode d’attaque le plus fréquent, puisqu’il est responsable de 60 % des incidents. La moitié d’entre eux utilisent une URL. Et David de soulever la question : « En quoi les URL posent-elles un problème ? » Il explique : « …souvent, les hackers introduisent le contenu dans l’URL après avoir envoyé leur message. Vous recevez un e-mail, vous cliquez sur le contenu, rien ne se passe… Et le lendemain, bing. »
Pour illustrer son propos, il cite un exemple frappant : un employé a cliqué 11 fois sur le même e-mail de phishing. « Qu’est-ce qui a bien pu se passer, dans sa tête, pour qu’il essaye de récupérer le même contenu 11 fois ? », s’interroge David. Les attaquants jouent sur ces comportements pour affiner leur tactique et simuler un parcours client complet.
Lorsque de tels incidents se produisent, l’équipe de David informe directement le personnel. « Dans notre domaine, nous devons rester en contact avec les gens pour comprendre ce qu’il se passe et tirer des leçons de ce qu’ils nous disent. »
Les données recueillies sur les 20 boîtes de réception les plus attaquées chez WAGO montrent qu’elles peuvent recevoir jusqu’à 20 000 e-mails par mois, parmi lesquels beaucoup de tentatives d’attaque. Les boîtes collectives sont, en particulier, exposées à davantage de risques.
Pour limiter les risques, WAGO isole ces comptes mail. Grâce au sandboxing, les liens suspects sont ouverts dans un espace isolé et sécurisé, de telle sorte que s’ils déclenchent une menace, celle-ci puisse rester dans un périmètre maîtrisé. Cependant, comme l’a fait remarquer David, certains attaquants misent sur une menace à retardement, en mettant le lien à jour après son envoi. Dans ce cas, même un sandboxing peut être insuffisant. David et son équipe ont bien compris qu’il fallait ajouter à toutes ces protections, une formation de sensibilisation, en commençant par les personnes qui cliquaient sur ces mails.
Remporter les épreuves du 10 000 m, du 5 000 m et du 1 000 m
David Kreft compare le règlement sur la sécurité de l’information en vigueur chez WAGO à des épreuves de course : 10 000, 5 000 et 1 000 mètres. « Cette structure est essentielle pour gérer notre cybersécurité à l’international… Sans elle, nous n’aurions aucune chance », souligne-t-il.
Sur le plan stratégique, ce règlement précise les objectifs généraux et les responsabilités en matière de sécurité de l’information dans l’entreprise.
Sur le plan tactique, il définit les directives s’appliquant à l’ensemble du groupe, service par service, notamment en matière de sensibilisation à la cybersécurité. « Nous y décrivons notre méthode de sensibilisation au sein de WAGO : le type d’ICP recueillis, le processus de sensibilisation, etc. », explique David.
Sur le plan opérationnel, ces directives sont appliquées au quotidien.
En 2019, WAGO a posé les fondements d’une campagne de sensibilisation sur le long terme. L’équipe a répertorié différentes formes de formation, dont la formation en ligne, en les classant par degré d’engagement en matière de sécurité. Elle a également associé les formats de communication (newsletters ou réponse basée sur les incidents, par exemple) aux différents stades de progression des employés, sachant que selon le degré de sensibilisation d’une personne, elle sera vulnérable à différents types de messages.
Leur travail associait donc communication et formation sur la cybersécurité. En variant les différents types de messages, de canaux et de formats, WAGO pousse son personnel à intégrer la sécurité dans son quotidien.
Dans le cadre de sa stratégie de communication, notamment lors de la phase 1 de sa campagne de sensibilisation, l’entreprise a mis au point un plan de communication spécifique à chaque groupe cible et précisant le lieu, les raisons et les modalités de la stratégie de sensibilisation. D’abord appliqué aux cadres dirigeants, il a peu à peu été étendu à toute l’entreprise.
David revient sur cette expérience : « Nous nous faisons notre propre film. Nous avons nos propres idées. » Mais l’équipe a rapidement réalisé où se situait le problème : « Le défaut de cette campagne de sensibilisation était qu’elle coûtait cher et prenait beaucoup de temps. »
Après avoir posé les bases, WAGO a donc choisi de se tourner vers un partenaire capable d’utiliser la structure déjà créée pour obtenir des résultats tangibles : SoSafe.
De la planification à la pratique avec SoSafe
Après avoir obtenu l’accord des parties prenantes, WAGO a lancé sa première campagne de phishing avec SoSafe : une simulation de deux semaines visant à évaluer le niveau de sensibilisation initial.
« Habituellement, nous avons besoin de 10 modèles de phishing dans la langue locale et 10 autres en anglais », précise David.
Avec l’aide de SoSafe, WAGO a pu dépasser le concept des simulations basiques. La solution dispose de modèles de phishing et de modules de formation en ligne systématiquement mis à jour, pour aborder des sujets d’actualité comme les risques liés à l’utilisation de ChatGPT ou les dernières menaces identifiées sur le net. Pour plus de pertinence et d’efficacité, les simulations s’adaptent au comportement et à la maturité de chaque employé.
David a surveillé les taux de clics, ainsi que les retards de formation, dans les différents centres de coût, unités commerciales et régions. Les efforts de son équipe ont fini par payer : le taux de clics sur les tentatives de phishing a chuté et le score comportemental de WAGO est passé de 65 à 91, preuve d’une plus grande sensibilisation aux risques.
Un an plus tard, WAGO déployait ce programme dans 30 pays, 21 langues et auprès de 6 000 utilisateurs. L’implémentation a eu lieu en deux phases : la formation a d’abord été mise en place dans les usines de production et neuf filiales, puis dans le reste du groupe. David souligne l’importance d’une bonne coordination dans le choix des modèles de phishing, dans la mesure où la question peut être sensible suivant les régions.
Si le choix de WAGO s’est porté sur SoSafe, ce n’est cependant pas seulement pour ses fonctionnalités. David insiste d’ailleurs sur ce point : « Nous avons choisi SoSafe pour l’adaptabilité de ses solutions. Elles correspondent parfaitement aux besoins très variés de notre personnel, de sorte que SoSafe est devenu davantage un partenaire qu’un prestataire. »
L’équipe de David a lancé l’idée d’étendre la formation à la cybersécurité au-delà du cercle des employés pour inclure leurs familles et leurs amis. « Il y avait la sphère privée et la sphère professionnelle. Il nous fallait réunir ces deux mondes. Sinon, ça ne marcherait pas », souligne-t-il. Pour combler ce fossé, WAGO a donc organisé des sessions de formation pour parents et enfants. « Nous avons expliqué en quoi consistaient les chapeaux noirs, blancs et gris… Et qui sait, peut-être avons-nous suscité de futures vocations dans le domaine du piratage éthique ».
L’expérience de WAGO prouve que la sensibilisation ciblée associée aux Simulations de Phishing comportementales et à la Formation Personnalisée de SoSafe permet d’obtenir des résultats quantifiables en matière de réduction des risques cyber. En intégrant la solution de SoSafe, WAGO a fait évoluer les comportements de ses employés dans le monde entier et montré que la sécurité commence par une approche humaine.
Établissez une ligne de défense humaine efficace
Rapports 
Guides 
Blog 
Lexique de la cybersécurité 
Témoignages clients 
Tous les événements 
Human Firewall Conference 
Danger Lab 
Phishing game 
Testez votre cyberrésilience 
Webinaires 
Interview d'expert 
Replays 
Pourquoi SoSafe 
Carrières 
Nouveautés produits 
Actu et presse 
Contact 
Sécurité et confiance 