Ah, quel joli mois de mai ! Pour les salariés qui peuvent en bénéficier, les beaux jours sont synonymes du versement de l’intéressement. Ce dispositif d’épargne salariale est lié aux résultats ou aux performances de l’entreprise. Mais à l’Afnor, l’association française de normalisation, ce dispositif a une particularité.
Comme l’explique l’organisme à ZDNET.fr, l’intéressement des salariés est en effet en partie aligné sur la capacité des employés à veiller à leur cybersécurité. La sécurité informatique n’est cependant pas le seul critère de ce bonus collectif à l’intéressement, attribué à chaque fois depuis son nouveau mode de calcul mis en place en 2022.
Mais elle rentre dans le calcul de ce bonus avec deux variables. Il s’agit d’une part de la réussite des salariés à éviter les mails de hameçonnage, lancés dans des campagnes de prévention régulières. Et d’autre part de leur capacité à mettre en place des mots de passe forts, testés à quelques reprises par an sous la forme de l’envoi d’un hash à un prestataire.
Effet entraînant
« C’est un moyen supplémentaire de mobiliser les salariés, et de façon collective, sans pointer du doigt une personne, relève Jean-Marc Aubert, le responsable de la sécurité des systèmes d’information. Cela a eu donc un effet plutôt entraînant. Nous sommes tous dans le même bateau. »
L’adhésion à ce bonus est à mettre en regard avec le choc qu’a représenté l’attaque informatique de février 2021. Le rançongiciel Ryuk venait de viser l’Afnor. « J’ai vu des salariés arriver dans mon bureau en pleurs après avoir cliqué sur un lien de hameçonnage, c’est vous dire le niveau de traumatisme », signale Jean-Marc Aubert.
A l’époque, l’attaque informatique avait commencé par un clic malencontreux sur un message de hameçonnage. Ce qui avait entraîné l’exécution de programmes malveillants permettant le déploiement ultérieur du rançongiciel.
Combat permanent
Trois ans plus tard, la prévention des messages malveillants de hameçonnage est toujours un axe important d’effort pour la sécurité des systèmes d’information. Avec un message principal: si vous avez cliqué sur un lien, venez le dire pour pouvoir mettre en place des mesures de surveillance.
Il s’agit toutefois d’un combat permanent. Les résultats des campagnes de test sont en effet fluctuants. Même si les salariés font plus attention qu’avant, « nous sommes toujours surpris de voir que, malgré la sensibilisation, il y a toujours des clics sur des messages », regrette Jean-Marc Aubert.
« C’est un travail de longue haleine », philosophe le responsable de la sécurité de systèmes d’information. Et ce notamment quand les messages malveillants visent des thématiques concernantes pour leurs cibles, comme par exemple des chèques cadeaux. « Mais je préfère avoir dix clics de salariés sur un message malveillant qui me préviennent ensuite, plutôt que deux personnes cliquant sans en référer », résume-t-il.