Face à l’intensification des menaces cyber, Docaposte, filiale numérique du groupe La Poste, renforce la formation de ses équipes. De l’e-learning obligatoire aux certifications expertes, Vanessa Chocteau, directrice générale du Docaposte Institute, détaille sa stratégie pour implanter une culture de la sécurité à tous les niveaux de l’entreprise.
Vanessa Chocteau (Docaposte Institute) : "En matière de cybersécurité, la préparation est l’aspect le plus important"
Décideurs RH. Quels sont les enjeux de Docaposte en matière de cybersécurité et protection des données ?
Vanessa Chocteau. Pour nous, éditeur logiciel et intégrateur, le risque cyber est une préoccupation quotidienne, pensée « by design ». Nous nous efforçons de rendre encore plus robuste la protection des données et des accès pour une sécurisation complète, et d’être en parfaite conformité avec les réglementations. En outre, nos hébergements sont situés en France, au sein de nos propres infrastructures, et traitent par exemple des données de santé – ce qui nous oblige à rester particulièrement vigilants.
Comment coordonnez-vous la sensibilisation collective aux enjeux de cyberattaque ?
Nous dispensons des formations sur les obligations légales et réglementaires liées à la protection des données, ainsi que sur la gouvernance à mettre en place afin d’aligner cette mise en conformité avec les instances internes et l’instauration de comités de crise, notamment. Il s’agit que l’ensemble des parties prenantes, notamment à l’IT, aient tout cela en tête, et aient à disposition tout le corpus de normes, méthodes et référentiels documentés dans l’entreprise. Toute cette préparation vaut pour les fonctions de projet, les directions juridiques.
En ce qui concerne la protection, nos formations concernent plus particulièrement les directions SI, qui mettent en place tous les dispositifs de sécurité pour identifier et corriger les éventuelles vulnérabilités. Elles s’appuient souvent sur des logiciels qui nécessitent de former les équipes à leur utilisation.
Comment s’organise le travail de formation entre les directions de votre groupe ?
Nous travaillons pour la DRH de Docaposte et en étroite relation avec la DSI, afin de transmettre au plus grand nombre toute l’acculturation et la sensibilisation nécessaires à la sécurité informatique. Ce volet est crucial, car nous savons que les hackers profitent des faiblesses humaines qui font qu’un simple clic sur un lien malencontreux peut, même avec les meilleurs pare-feux, aboutir à un risque.
Cette culture du risque est au centre de notre travail. L’un des DGA de Docaposte, Guillaume Poupard, est l’ancien directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), ce qui nous sensibilise à l’importance du partage de connaissances pour être en mesure de réagir à la multiplication d’attaques et à la variété des formats, des techniques et logiciels utilisés dans les attaques. L’Anssi diffuse énormément de livres blancs, de conseils, et, à l’échelle du groupe, nous nous assurons que nos directions SI travaillent comme un réseau d’experts afin de pouvoir réagir aussi entre pairs.
"À l’échelle du groupe, nous nous assurons que nos directions SI travaillent comme un réseau d’experts afin de pouvoir réagir aussi entre pairs"
Qui formez-vous prioritairement ?
Chez nous, tout comme chez nos clients, nous formons un public assez large, à commencer bien sûr par le DSI et le RSSI, qui sont aux avant-postes sur ces sujets. Ces directions sont dotées de spécialistes – administrateurs systèmes, réseaux, cloud, qui œuvrent sur de l’architecture lourde. Pour les plus hauts niveaux de compétence, nous avons renforcé la formation et la certification afin de garantir une sécurité maximale. Nous formons ces fonctions clés à la sécurité offensive, qui inclut l’ensemble des techniques d’attaques. Car plus les individus les connaissent et savent les pratiquer, mieux ils seront en capacité ensuite de paramétrer les tests d’intrusion pour vérifier la réaction et la robustesse de leur sécurité applicative.
Ensuite viennent tous les collaborateurs qui font du développement produit ou applicatif : les développeurs et ingénieurs logiciels. Nous les préparons à avoir toujours un temps d’avance en incluant des défenses dans leur code, et aux changements qu’introduira le calcul quantique. Cela exige une préparation à la cryptoagilité, qui consiste à penser des lignes de code pouvant facilement être remplacées pour prévenir une prochaine attaque, et pour s’y préparer en faisant des tests d’intrusion. Suivent également les chefs de projets IT et responsables techniques qui doivent s’assurer de la conformité.
Viennent enfin le reste des collaborateurs : nous savons que même avec une architecture IT ultrarobuste, si les collaborateurs ne sont pas au fait des failles potentielles, ils peuvent être eux-mêmes la faille. Par conséquent, nous avons conçu des modules sur la sécurité informatique que nous avons rendus obligatoires pour tous.
"Même avec une architecture IT ultrarobuste, si les collaborateurs ne sont pas au fait des failles potentielles, ils peuvent être eux-mêmes la faille"
Quelle place ont les soft skills dans votre approche de formation aux enjeux de cybersécurité et de protection des données ?
La formation aux compétences comportementales est intégrée à nos programmes, car nous avons conscience qu’elles sont cruciales lors d’une attaque. Par exemple, lors des formations juridiques autour de la sécurisation et du traitement des données personnelles, nous abordons aussi le point de vue de l’utilisateur qui a autorisé l’usage de cette donnée, afin d’exercer l’empathie des collaborateurs et démontrer l’importance de l’information sur les finalités de traitement de la donnée.
Nous organisons aussi des formations avec des mises en situation de crise, afin d’entraîner à l’entraide et à la connaissance de soi et d’autrui face au stress, ce qui est indispensable pour garantir une gouvernance efficace et solide.
Comment préparez-vous les équipes à une éventuelle crise ?
Malgré toutes les préparations et protections du monde, une attaque peut malheureusement survenir. C’est dans ces cas-là qu’il est nécessaire de se défendre, de se protéger et de répondre le plus vite et le plus efficacement possible aux attaques.
"La formation aux compétences comportementales est intégrée à nos programmes, car nous avons conscience qu’elles sont cruciales lors d’une attaque"
En matière de cybersécurité, la préparation est l’aspect le plus important : plus le corpus de règles pour gérer les crises est étoffé, et plus ces règles sont appliquées, mieux les réactions et les bons réflexes sont intégrés. L’essentiel est de bien anticiper le stress.
Pouvez-vous détailler la manière dont vous organisez l’apprentissage auprès de l’ensemble des collaborateurs sur les sujets de cybersécurité et de protection des données ?
Notre e-learning sur la sécurité informatique, rendu obligatoire pour tous les collaborateurs est régulièrement mis à jour avec les nouvelles techniques de hacking. Il est construit de telle sorte que les informations soient toutes assimilées, sans possibilité de contournement d’étapes. Les questions finales peuvent comporter des pièges ou subtilités, et nous sommes rassurés d’observer que 85 % des réponses sont bonnes.
Tout nouvel arrivant doit le suivre dans son premier mois dans l’entreprise, et doit le refaire tous les deux ans. Ce processus est complété par des tests d’intrusion et des simulations telles que celle de l’« arnaque au président », qui jouent sur la pression hiérarchique pour que les collaborateurs cliquent sur des liens piégés. Ces mailings constituent une attaque classique, récurrente, à laquelle tout le monde doit être préparé, d’autant qu’aujourd’hui, grâce aux IA, les emails sont mieux rédigés et peuvent réellement apparaître comme authentiques.
Par ailleurs, nous ajoutons des formations complémentaires en lien avec chaque métier chez Docaposte. Par exemple, avec l’arrivée de Dora, le règlement sur la résilience opérationnelle numérique dans le secteur financier, nous concevons un e-learning sur les impacts de cette réglementation dans le quotidien des activités applicatives. En parallèle, nous sommes en train de certifier en interne deux personnes référentes Dora, qui seront ainsi à même de répondre aux interrogations des équipes et de les accompagner dans la durée.
Quelles mesures mettez-vous en place face à la généralisation massive des IA ?
Nous sensibilisons sur le bon usage des IA génératives et leurs dangers concernant la protection des données sensibles. Nos ingénieurs pédagogiques ont construit un e-learning de sensibilisation pour démystifier le sujet, rappeler nos méthodologies et nos plateformes existantes en interne, ainsi que pour partager les bonnes pratiques visant à éviter la fuite de données : par exemple, savoir faire un prompt qui ne diffuse pas à l’IA de données personnelles – nom, adresse – ou stratégiques.
Comment utilisez-vous la donnée et quelles règles appliquez-vous au Docaposte Institute ?
En tant qu’organisme de formation, la donnée des apprenants a de la valeur, car elle constitue un indicateur clé de niveau en entrée et en sortie de formation. Or, ces données pourraient amener à établir un scoring sur des niveaux de compétences et induire, si elles sont mal utilisées, des discriminations possibles dans des mobilités, dans des promotions, etc. C’est là qu’il faut trouver le bon équilibre. En formation, nous travaillons sur les compétences comportementales et techniques, ce qui donne un aperçu d’un individu et de sa personnalité. Il est donc essentiel de s’assurer du bon usage de la data, et de la transparence de l’information lors du recueil du consentement des collaborateurs quant à l’utilisation finale de leurs données.
Toujours dans cette perspective de sécurité, nous renforçons également les systèmes d’authentification au sein de nos LMS : cela prend un peu plus de temps de paramétrage, mais c’est indispensable.
Propos recueillis par Judith Aquien
