Phishing, fraude au président, ransomware… La cybercriminalité prend plusieurs visages et les collaborateurs au sein des entreprises en sont souvent les premières cibles, compte tenu de leur faible connaissance des risques. Pour tenter de les alerter, le groupe Elior a déployé une campagne d’envergure, conçue par l’agence Brainsonic. Le principal défi était de faire en sorte que les salariés du spécialiste de la restauration collective et des services se sentent concernés. « La cybersécurité est souvent envisagée comme un non-sujet. On estime que c’est du ressort de la DSI ou de l’informatique. Il fallait donc impliquer les salariés et trouver un moyen de les intéresser en leur montrant que ce sujet est l’affaire de tous », explique Baudouin Demanche, creative strategist au sein de Brainsonic.
Le concept imaginé par l’agence repose sur la mise en place d’un « leurre » pour attirer l’attention des collaborateurs sur l’importance de se protéger contre les cyberattaques, tant dans l’univers personnel que professionnel. Cette technique est justement bien connue des hackers, et il s’agissait de jouer sur ces mêmes codes. « Nous avons fait croire aux collaborateurs qu’Elior avait coproduit le dernier long métrage de Rachel Robins, Hacking Diner, tourné en partie dans l’un des restaurants du groupe », précise Baudouin Demanche.
Fausses affiches, faux emailings et fausse bande annonce : les collaborateurs ont très vite été́ « hameçonnés ». La bande annonce du film par exemple donnait le sentiment d’être projeté au cœur d’un véritable cyber-thriller, dans lequel les clients d’un restaurant, le temps d’un repas, se retrouvaient dépossédés de leurs données personnelles. « Nous avons repris les codes des blockbusters pour créer une vraie tension autour de la cybersécurité », ajoute le creative strategist. À la fin, un pirate apparaît à l’écran et on l’entend dire : « Pensez-vous qu’il ne s’agit que d’une fiction… ? ». La réponse est bien entendu négative, et le pirate en question n’est autre que Gérard Leymarie, faux hacker mais authentique directeur de la sécurité́ des systèmes d’information du groupe Elior. Un double jeu parfaitement bienvenu pour sensibiliser et alerter sur les faux semblants.
Coût de la campagne : entre 35 000 et 40 000 euros. Un budget raisonnable sachant que la campagne a permis aux collaborateurs du groupe de prendre conscience des risques, à en croire le nombre d’anomalies et d'incidents désormais signalés par les salariés à la direction informatique. A l’issue du reveal, le site web du « film » a été transformé́ en site pédagogique. Chacun pouvait y trouver un mix de contenus comme des infographies, des articles ou des interviews utiles aussi bien dans sa vie personnelle que professionnelle. On pouvait par exemple apprendre combien de temps est nécessaire pour que son mot de passe soit « démasqué ». Et pour faire vivre cette campagne de sensibilisation dans la durée, différents contenus pédagogiques ont été postés sur le site tous les deux mois afin de renforcer en l’interne la connaissance des enjeux liés à la cybersécurité.
Autre signe de succès : la campagne, qui n’était initialement prévue que pour la France, a été traduite et dupliquée dans toutes les filiales du groupe à l’international. Elle a même été « adoubée » par Mounir Mahjoubi, alors secrétaire d’État chargé du numérique, lors de sa visite au siège du groupe Elior le 23 octobre 2018. D’autres grandes entreprises se sont également intéressées au concept et ont même demandé aux dirigeants d’Elior d’intervenir pour en parler. La « rançon » du succès !
« Quatre fois plus d’incidents sont remontés à la DSI », Agnès Rullier, directrice de la communication interne chez Elior
« Pour nous, le fait de communiquer sur un sujet très sérieux sans se prendre au sérieux s’est imposé comme une évidence pour capter l’attention et susciter l’intérêt des collaborateurs. Profiter du mois d’octobre 2018, mois européen de la cybersécurité organisé par le gouvernement, nous a paru être le bon moment pour lancer cette campagne. Par ailleurs, nous venions d’être victime d’une attaque informatique qui avait été décelée à temps, mais dont les conséquences auraient pu être très problématiques. Il y a réellement eu un avant et un après, car, aujourd’hui, quatre fois plus d’incidents sont remontés à la DSI. La preuve que nos équipes ont mieux compris les enjeux de la cybersécurité et le rôle qu’elles avaient à jouer. »