Les technologies de l’information font aujourd’hui partie du travail quotidien dans tous les domaines d’AMAG; sans ordinateur, sans données et sans réseaux, nous ne pourrions plus fournir nos services. Mais l’informatique comporte également une multitude de risques: des virus infiltrés dans les systèmes peuvent les paralyser, des pirates informatiques peuvent dérober les données et en faire un usage abusif ou faire du chantage aux entreprises en volant ou en cryptant les données. C’est pourquoi AMAG accorde une très grande importance à la sécurité des informations.
Pour sensibiliser les collaboratrices et collaborateurs aux dangers de l’espace numérique, AMAG emprunte des chemins innovants. Depuis 2019, nous utilisons le personnage Troy Troller créé par un dessinateur pour rendre les collaboratrices et collaborateurs attentifs à ces risques. En 2022, pour renforcer notre message, nous avons ajouté une complice à Troy: Trixie Tricker a été présentée pour la première fois en septembre 2022 lors du Family Day. Roger Mattmann, Chief Information Security Officer chez AMAG, explique lors d’une interview pourquoi nous avons besoin de Troy et Trixie et comment ils perçoivent leur rôle.
Pourquoi avons-nous besoin de Troy et Trixie?
Aussi intelligents que puissent être les systèmes informatiques, l’être humain restera toujours le maillon faible de la sécurité des informations. Les cybercriminels tentent souvent de s’introduire dans les systèmes informatiques d’une entreprise par l’intermédiaire de ses collaboratrices et collaborateurs, que ce soit par des e-mails frauduleux, de faux profils de réseaux sociaux ou d’autres méthodes. On sait que près de 85% des violations de la cybersécurité sont dues à des erreurs humaines.
Troy Troller et Trixie Tricker – pourquoi une complice est-elle venue se joindre à Troy en 2022?
Troy est plutôt disponible pour les attaques techniques. Toutefois, de plus en plus de cybercriminels recourent à l’ingénierie sociale. En d’autres termes, ils essaient d’espionner l’entreprise et de repérer les voies d’attaque par le biais de contacts numériques ou même de contacts physiques directs avec les collaboratrices et les collaborateurs. L’ingénierie sociale peut représenter jusqu’à 90% de l’effort d’une attaque ciblée, avant que l’attaque technique proprement dite ne soit lancée. C’est sur ce danger que Trixie vise à attirer l’attention, tandis que Troy continue de se concentrer plutôt sur le côté technique. Ensemble, ils forment un couple solide.
Comment faut-il se représenter le personnage de Trixie?
Elle est jeune, dynamique et agile. Elle est très sociable et a rapidement un bon contact avec la plupart des gens. C’est ainsi qu’elle instaure la confiance. Les gens aiment bien parler avec elle; et elle est habile pour leur soutirer des informations. Elle les transmet ensuite à son complice.
Est-ce qu’AMAG utilise Trixie de manière préventive, ou ces menaces du cyberespace sont-elles déjà une réalité?
Trixie et Troy visent à éviter que les cyberattaques ne causent des dommages à AMAG. Dans ce sens, nous utilisons ces personnages à titre préventif. Mais ces menaces sont déjà là et bien présentes. Un exemple: récemment, de faux profils de soi-disant collaboratrices et collaborateurs d’AMAG ont fait leur apparition sur la plateforme de réseaux sociaux XING. Dans leur profil, ces personnes ont inséré AMAG en tant qu’employeur. Puis elles se sont mises en réseau avec d’autres collaboratrices et collaborateurs d’AMAG afin d’instaurer la confiance et repérer les maillons faibles pour des attaques ciblées.
Quels sont les autres dangers que recèlent ce type de plateformes?
Je suis souvent étonné de voir le peu d’attention que les gens accordent à la cybersécurité lorsqu’ils postent. On peut voir des photos prises lors d’ateliers, avec en arrière-plan des informations tout à fait lisibles sur des tableaux à feuilles, ou bien des écrans affichant des fenêtres de programme ouvertes et des données sensibles. Trixie vise également à attirer l’attention sur ce type de dangers. Pour cette même raison d’ailleurs, Troy et elle ont depuis peu leur propre profil LinkedIn, et le nombre de leurs amies et amis augmente.
Quelles sont les autres manières dont vous utilisez Trixie et Troy?
Nous nous montrons très créatifs. Cela va de posts dans notre Intranet jusqu’à des présentations physiques lors d’événements. Pendant le mois européen de la cybersécurité au mois d’octobre 2022, nous avons par exemple organisé un déjeuner et un apéritif Afterwork. Des collaboratrices et collaborateurs de mon département, déguisés en Trixie et Troy, étaient sur place pour sensibiliser le public à ces thèmes. De temps à autre, nous essayons également de tendre des pièges ciblés à nos collaboratrices et collaborateurs. Lorsqu’une personne y est prise, c’est un moment fort et révélateur.
Ça a l’air ludique. Mais est-ce vraiment efficace?
Toutes les collaboratrices et tous les collaborateurs sensibilisés sont plus attentifs aux menaces provenant du cyberespace. Le potentiel de dommages lié aux cyberattaques est très élevé, c’est pourquoi nos mesures sont utiles dans tous les cas. En 2022, nous avons présenté Trixie et Troy à différents responsables de Volkswagen lors d’un audit. Ils ont été impressionnés par notre initiative.
