La Caisse Nationale des Industries Électriques et Gazières (CNIEG) a été créée le 1ᵉʳ janvier 2005 par la loi du 9 août 2004 en tant qu’organisme de Sécurité sociale de droit privé, doté d’une personnalité morale. La branche professionnelle des IEG regroupe les entreprises qui, en France, exercent des activités de production, transport, distribution, commercialisation et fourniture d’électricité et de gaz tels que EDF, ENGIE, ERDF, RTE, GRT gaz, GRDF, ENEDIS, STORENGY, ELENGY, etc.
Philippe Dazas, RSSI et Responsable Coordination Inter-Régimes de la CNIEG nous explique pourquoi avoir choisi SIGMA dans l’optique de sensibiliser ses équipes à la cybersécurité.
Qu’est-ce qui vous a poussé à approfondir votre stratégie cybersécurité en 2022 ?
Philippe Dazas : Pour la CNIEG comme pour un grand nombre de structures, la sécurité informatique est une préoccupation majeure. Et ce d’autant plus face à la recrudescence, ces dernières années, des attaques. Selon le baromètre annuel établi par le CESIN (Club des Experts de la Sécurité Informatique et du Numérique), plus d’une entreprise sur deux en France déclare avoir subi entre 1 et 3 cyberattaques en 2021. De nos jours, ce phénomène n’épargne plus aucun secteur.
Pour contrer ce risque, les entreprises ont tendance à investir dans la sécurisation des systèmes et équipements informatiques, sans nécessairement tenir compte de la dimension humaine. Or, selon une autre étude menée par IBM et Ponemon Institute, 90 % des failles de cybersécurité sont dues à une erreur humaine. D’où notre volonté, en nous appuyant sur l’expertise de Sigma, de travailler plus spécifiquement sur ce point.
Grâce à l’accompagnement Sigma, je remarque que la vigilance de tous les collaborateurs est montée d’un cran !
Philippe Dazas, RSSI et Responsable Coordination Inter-Régimes de la CNIEG
Comment gérer le risque humain en matière de cybersécurité ?
Philippe Dazas : Dans le cadre de son offre dédiée QOMITY Cyber, Sigma propose non seulement un accompagnement technique visant à renforcer la sécurité de l’infrastructure et à mieux surveiller son SI, mais également tout un parcours de sensibilisation continue des collaborateurs. C’est ce parcours que nous avons décidé de déployer depuis février dernier.
Comment se construit votre parcours de sensibilisation à la cybersécurité ?
Philippe Dazas : Outre des sondages permettant d’évaluer le niveau de maturité des utilisateurs dans le domaine de la cybersécurité, ce parcours de sensibilisation offre une variété de supports de communication tels que des infographies, des contenus textes, des statistiques, etc. Avec la possibilité de conduire des campagnes d’information, tout au long de l’année, sur des sujets ciblés.
Parlons de vos besoins
Sensibilisez vos collaborateurs à la cybersécurité à l’aide d’un programme didactique et pédagogique, adapté à vos enjeux et à vos problématiques.
En étroite concertation avec Sigma, qui nous a apporté ses préconisations, nous avons ainsi sensibilisé nos collaborateurs à des questions aussi cruciales que le renforcement des mots de passe, la sécurisation du poste de travail ou encore la différenciation des utilisations professionnelles et personnelles. Si les apports théoriques sont évidemment importants dans ce domaine, la mise en pratique l’est pour nous davantage. C’est pourquoi nous avons travaillé à rendre cette sensibilisation aussi concrète que possible…
Comment rendre cette sensibilisation à la cybersécurité encore plus concrète ?
Philippe Dazas : Outre l’envoi de faux mails de phishing et le visionnage de témoignages de dirigeants victimes de cybercriminalité, nous avons proposé à nos collaborateurs de décrypter des cyberattaques ayant récemment eu lieu. Ce fut le cas notamment de l’hôpital de Corbeil-Essonnes en septembre dernier qui, après avoir refusé de verser une rançon de 10 M€, a vu une partie de ses données de santé divulguée. Rendant le risque plus palpable, ces études de cas permettent de sensibiliser aux impacts concrets d’une attaque informatique et aux bons gestes à adopter, si elle survient. En appui de la démarche en place, je me suis également « invité » dans les réunions d’équipes où j’ai effectué un certain nombre de rappels utiles en termes de cyberdéfense.
Quel bilan tirez-vous déjà de ce dispositif ?
Philippe Dazas : Nous sommes d’abord très satisfaits de la collaboration avec Sigma. Assurant un suivi de qualité et une communication régulière avec nous, l’ESN a su prendre en compte nos choix et nos spécificités propres en termes de cybersécurité, sans venir calquer une démarche standard. Ensemble, nous effectuons ainsi les réajustements nécessaires pour des campagnes toujours mieux adaptées à nos enjeux métiers. Et cela paie ! Depuis peu, j’observe une recrudescence des signalements suite à la réception de mails frauduleux. Le signe que nos collaborateurs se sont emparés du sujet, en intégrant les bons réflexes. Manifestement, leur vigilance est aujourd’hui montée d’un cran.