En appui sur la solution Phish Threat de Sophos, le groupe de tourisme organise régulièrement des campagnes de faux mails frauduleux pour sensibiliser ses collaborateurs au danger.

Présent sur plus de 80 destinations, le groupe Kuoni France est un acteur majeur et incontournable du monde du tourisme. Né du rachat en 2013 d’une partie des activités du groupe suisse Kuoni, Kuoni France a dû dès sa création se constituer un système d’information indépendant de sa maison d’origine.

À cette occasion, Stéphane Navarro, responsable systèmes et réseaux de Kuoni France, a cherché une solution pour sécuriser les postes de travail des collaborateurs de la société. « Nous avons retenu Sophos, explique-t-il. Au départ uniquement sur le volet antiviral. Par la suite, nous avons adopté la solution complète en mode SaaS, y compris sur nos serveurs. »

Plus récemment, la société a aussi mis en œuvre Phish Threat, un outil de simulation de phishing utilisé pour sensibiliser, entraîner et former les collaborateurs aux risques de sécurité et notamment aux courriels frauduleux. « L’outil est réellement simple à utiliser et très efficace en termes de formation. Car un utilisateur est beaucoup plus attentif au module d’e-learning une fois qu’il s’est fait piéger », estime Stéphane Navarro.

En pratique, Phish Threat se concrétise par une console proposée en mode SaaS par Sophos qui permet de créer la campagne. Son initiateur choisit dans la bibliothèque un modèle prédéfini de courriel qu’il peut personnaliser. Il sélectionne ensuite les utilisateurs auxquels le courriel sera adressé, et paramètre le début et la fin de la campagne en indiquant s’il préfère des envois massifs ou par vagues. Enfin, il associe à la campagne un module d’e-learning à suivre par les utilisateurs qui se font piéger.

Espiègle, Stéphane Navarro est même allé jusqu’à reproduire un courriel que les utilisateurs reçoivent régulièrement en remplaçant la pièce jointe habituelle par un lien « frauduleux », afin de tester la vigilance de ses collaborateurs. En cliquant sur le lien, ils étaient alors redirigés sur une note expliquant qu’il s’agissait d’une campagne de sensibilisation, tout en leur faisant prendre conscience de la dangerosité de leur acte. Les collaborateurs étaient ensuite invités à suivre le module d’e-learning, l’intégralité du processus étant géré et automatisé par Phish Threat. « La première fois, près de 30 % des collaborateurs se sont fait piéger parce que le courriel ressemblait vraiment à quelques détails près à celui qu’ils reçoivent habituellement », se souvient-il.

Depuis la mise en œuvre de l’outil il y a deux ans, Kuoni France a organisé trois campagnes. Au fil du temps, les utilisateurs ont acquis de nouveaux réflexes. « Quand ils ont un doute, ils font suivre le courriel au service informatique pour vérification. Résultat, sur la dernière campagne, seulement 18 % des collaborateurs se sont fait piéger. Bien entendu, c’est encore trop, car un seul suffit pour mettre en danger le système d’information. Mais nous progressons et nous multiplions les piqûres de rappel entre deux campagnes, en précisant que le risque n’est pas que professionnel : il peut aussi les impacter dans leur vie personnelle de tous les jours », conclut Stéphane Navarro.

L’ENTREPRISE

ACTIVITÉ : Tourisme
EFFECTIF : 258 collaborateurs
CA : 142 M€ (2019)