1. En matière de cybersécurité, quels sont les objectifs et la stratégie du groupe AXA ?
Face à la convergence des menaces, le groupe AXA a décidé de mettre en place une gestion holistique de la sécurité (c’est-à-dire globale) qui intègre les trois disciplines fondamentales : la sécurité physique, la sécurité de l’information, la résilience opérationnelle.
La sécurité physique, c'est la protection de nos bâtiments et de nos employés, qu'ils soient en déplacement ou dans nos locaux, ainsi que la protection de nos clients.
La sécurité informatique, c'est tout ce qui concerne la protection de nos informations et des données : systèmes, sites internet, applications mobiles, etc.
Enfin, la résilience opérationnelle, c'est assurer la capacité à continuer ou reprendre nos activités après un incident ou une catastrophe, par exemple le récent tremblement de terre en Indonésie.
Notre stratégie de sécurité s’articule autour de trois grands axes : placer la sécurité au cœur de nos activités, de nos projets, de nos produits d’assurance et de notre approche en matière d’innovation (ce que l’on appelle « security by design) ; sensibiliser et former l’ensemble de nos employés à travers le monde pour opérer une transformation culturelle ; être en capacité d'anticiper le risque.
"Care, Protect, Alert"
2. Comment sensibiliser et former les collaborateurs ?
Les employés sont les maillons forts de la cybersécurité et de la sécurité en général. Le fil directeur de nos actions est que nos 160.000 collaborateurs deviennent autant d'ambassadeurs et d’acteurs de la sécurité : ils sont le premier rempart de protection.
C'est un changement d'approche, qui s'accompagne d'un vrai programme de sensibilisation et de formation à la sécurité : pour pouvoir déjouer les menaces, il faut bien les comprendre et les connaître. Il est donc fondamental que chaque employé comprenne la réalité des risques… Et l'intérêt de se protéger au quotidien : si les mesures que nous expliquons sont perçues comme des contraintes, c'est perdu.
C'est pour cela que nous formons tous nos collaborateurs aux bonnes pratiques, à travers le AXA Security Mindset : « Care, Protect, Alert ».
- Care : le collaborateur "prend soin", il porte attention à son environnement et à la manière dont il est sécurisé.
- Protect : le fait de rester vigilant dans ses actions et de ne pas commettre d'actes compromettant la sécurité de l'entreprise.
- Alert : en cas de souci, il est important de prévenir son correspondant sécurité local.
Voilà pour les grands principes. Mais pour être pertinent et bien reçu, ce message doit être adapté à chaque métier. Une personne du département marketing n'aura pas les mêmes besoins, ni les mêmes usages, qu'une personne des RH ou d’une DSI.
Notre programme de formation est donc adapté et segmenté, selon les fonctions, et les besoins des personnes et des métiers. On prend en compte leurs connaissances personnelles et la nature des risques auxquels ils sont exposés. Par exemple, un chargé de ressources humaines reçoit des dizaines de CV par jour. On va donc le sensibiliser au fait de ne pas ouvrir ces CV sans vigilance préalable : vérifier l'adresse mail de l'expéditeur par exemple est un geste simple et pour autant efficace pour éviter une attaque de phishing ! Tous les employées AXA bénéficient d’un programme de formation complet qui s'appuie vraiment sur ce qu'ils vivent au quotidien.
On leur donne aussi des conseils qu'ils peuvent adopter pour avoir les bons gestes dans leur vie privée, comme sécuriser leurs messageries personnelles ou leurs comptes sur les réseaux sociaux…
La bonne nouvelle, c'est que ça marche ! On teste régulièrement notre résistance au phishing : depuis que nous formons mieux nos collaborateurs, le nombre de clics – donc l'exposition aux risques – a été divisée par 4 ou 5.
3. Faut-il accepter le fait que les attaques sont inévitables ? Et chercher à les contrer plus qu'à les prévenir ?
On constate en tous cas un double phénomène : d'une part une réelle prolifération des menaces et d'autre part une professionnalisation des attaques. Celles-ci deviennent désormais très complexes, avec des attaques physiques et informatiques simultanées.
Par exemple, des personnes malveillantes vont d'abord pénétrer dans les bâtiments puis, une fois à l'intérieur, elles vont en attaquer les réseaux, le wifi, etc. Ou bien attaquer dans un premier temps le système de climatisation avant de viser l'ensemble du SI.
Face à de tels professionnels, il faut rester très vigilant. L'idée, c'est d'être en anticipation.
C'est aussi l’ADN d'AXA : analyser les risques, les identifier et les anticiper que ce soit pour nos clients ou pour nous. C’est le gage de notre résilience.
Comprendre que les attaques sont inévitables, ce n'est pas de la résignation, mais de la préparation : ce qui fait la différence entre deux entreprises piratées, c'est la capacité et le temps de récupération. Comment se doter de bonnes capacités de détection ? Comment déjouer les attaques et rester opérationnel en toutes conditions ? La préparation et l'organisation, en amont, feront la différence… Il faut donc anticiper, préparer, savoir comment réagir à différents types d’attaques, comment reprendre les activités après une intrusion. Cela signifie mettre en place une organisation qui soit en mesure de gérer la sécurité physique, la sécurité informatique et d’assurer la protection des personnes
Ma conviction reste que l'humain est au cœur de la sécurité, comme d'ailleurs de tous les projets d'entreprise. Comme je le dis : "It's all about people".