En février 2021, l’Afnor, l’Association française de normalisation, a été victime d’une attaque par rançongiciel, Ryuk. Cet événement traumatisant a laissé des traces profondes, poussant l’organisme à revoir ses pratiques en matière de cybersécurité. Désormais, la sécurité informatique fait partie intégrante du calcul de l’intéressement des salariés, un dispositif d’épargne salariale lié aux performances de l’entreprise.
La Cybersécurité : Un Critère de Performance
Depuis 2022, l’Afnor a mis en place un nouveau mode de calcul pour l’intéressement, incluant la cybersécurité comme l’un des critères d’évaluation. Concrètement, deux variables principales influencent ce bonus :
- La réussite des salariés à éviter les mails de hameçonnage : Des campagnes de prévention régulières sont lancées pour éduquer et tester les employés.
- La capacité à mettre en place des mots de passe forts : Ces derniers sont testés plusieurs fois par an via l’envoi de hashes à un prestataire externe.
Selon Jean-Marc Aubert, responsable de la sécurité des systèmes d’information, cette approche collective est un moyen efficace de mobiliser les salariés sans stigmatiser individuellement ceux qui pourraient commettre des erreurs. “Nous sommes tous dans le même bateau,” souligne-t-il, mettant en avant l’effet positif de cette mesure sur l’ensemble de l’équipe.
Un Effet Mobilisateur
L’intégration de la cybersécurité dans l’intéressement a un effet mobilisateur. Elle responsabilise les salariés tout en renforçant la vigilance collective. “J’ai vu des salariés arriver dans mon bureau en pleurs après avoir cliqué sur un lien de hameçonnage, c’est vous dire le niveau de traumatisme,” se rappelle Jean-Marc Aubert. La prise de conscience suscitée par l’attaque de 2021 reste présente, poussant l’organisation à intensifier ses efforts de prévention.
Un Combat Permanent
La lutte contre le hameçonnage est un combat permanent. Malgré les campagnes de sensibilisation, des clics sur des messages malveillants continuent d’être observés. “Nous sommes toujours surpris de voir que, malgré la sensibilisation, il y a toujours des clics sur des messages,” regrette Aubert. Cependant, la politique de l’Afnor encourage les employés à signaler tout clic suspect, permettant ainsi une réaction rapide et la mise en place de mesures de surveillance appropriées.
“Je préfère avoir dix clics de salariés sur un message malveillant qui me préviennent ensuite, plutôt que deux personnes cliquant sans en référer,” résume-t-il. Cette transparence est cruciale pour maintenir une sécurité robuste.
Une Philosophie à Long Terme
La stratégie de l’Afnor en matière de cybersécurité repose sur une philosophie à long terme. La prévention et la sensibilisation sont des processus continus. L’organisation sait que le chemin est long et semé d’embûches, mais elle est déterminée à avancer. “C’est un travail de longue haleine,” affirme Aubert. Les cyberattaques évoluent, et les tactiques des attaquants deviennent de plus en plus sophistiquées, rendant la vigilance et l’adaptation constantes indispensables.