ÉTUDES DE CAS
BNL : la sécurité s’apprend en jouant
Présentation générale
BNL, Banca Nazionale del Lavoro S.p.A., est une banque italienne basée à Rome avec plus de 100 ans d’histoire. Depuis 2006, elle fait partie du groupe BNP Paribas, leader européen des services bancaires et financiers présent dans plus de 70 pays. Et aujourd’hui, elle compte parmi les plus grands groupes bancaires italiens avec environ 2,5 millions de clients privés.
Le défi
Faire de la sensibilisation à la cybersécurité un pilier de la « cyberculture » avec un programme concret et structuré. Car la protection contre les cybermenaces ne concerne pas seulement quelques spécialistes de la sécurité, mais l’ensemble des collègues de la banque, y compris les citoyens et les clients.
La solution
Afin de protéger ses employés contre les cybermenaces, BNL a identifié dans notre plateforme la solution la plus adaptée, capable d’impliquer l’ensemble des 13 000 employés dans une compétition vertueuse pour renforcer leur connaissance de la cybersécurité.
C’est un sujet sérieux !
La cybersécurité physique nécessite une attention particulière au facteur humain, qui représente le maillon le plus faible de la chaîne de sécurité, mais peut également faire la différence grâce au niveau de connaissance et de sensibilisation. « Depuis 2017 – explique Marco Tulliani – nous avons intensifié nos efforts sur le programme de cybersécurité basé sur le Cadre NIST, en mettant l’accent sur la prévention, car selon nous, dans cet écosystème, il est essentiel de pouvoir définir une série de règles et activer les phases de prévention. Nous avons également mis en place un certain nombre de processus pour lesquels nos applications sont sécurisées par la conception, et nous créons une sensibilisation solide à la cybersécurité ». La cybersécurité est un élément important des politiques de l’entreprise et nécessite non seulement une réponse coordonnée entre le secteur public et le secteur privé, mais également une action synergique à l’intérieur et à l’extérieur de la banque. Cela est nécessaire pour protéger la banque et ses clients contre les cybermenaces.
Comment augmenter le niveau de sensibilisation
La cybersécurité physique a besoin d’une attention particulière au facteur humain qui est le maillon le plus faible de la chaîne de sécurité, mais en même temps l’élément qui peut faire la différence, en agissant sur le niveau de connaissance et de sensibilisation. « Même sur la base du NIST Assessment, nous avons commencé – explique Picano – avec une enquête qui a donné des résultats importants et nous a fait comprendre comment nous devions nous déplacer. Nous avons ensuite pris plusieurs initiatives, dont celle sur l’hameçonnage éthique. Nous avons compris qu’il fallait effectuer beaucoup de formation. Mais dans de nombreux cas, la formation sur l’Intranet de l’entreprise est vécue comme quelque chose d’imposé. C’est pourquoi nous avons opté pour une plateforme d’e-learning spécifique, qui nous a permis d’adopter un modèle plus engageant ».
Un Cyber Guru pour former à la sécurité
Après une sélection minutieuse, BNL a identifié la plateforme Cyber Guru comme solution pour renforcer le niveau de sécurité. Mais ce n’est pas tout. Sur la solution Cyber Guru, BNL a monté un véritable « championnat de sensibilisation à la cybersécurité », qui a vu les 13 000 employés divisés en 105 équipes engagées dans une véritable compétition. « L’objectif est de rendre les comportements de tous les collègues de la banque sûrs, conformes et intériorisés », conclut Picano.
Comment mesurer les résultats
« Le premier indicateur de mesure des résultats – répond Picano – est la participation des joueurs au championnat qui a été quasi totale. Une autre mesure importante que nous avons effectuée et que nous continuerons à effectuer est le nombre et la qualité des réponses à nos campagnes d’hameçonnage éthique périodiques, ce qui nous permet de comprendre comment la cyberculture s’améliore. Un autre aspect important est l’augmentation des contacts et des tickets vers nous pour signaler à l’équipe de réponse aux incidents des cas suspects ou des situations qui méritent d’être approfondis. Enfin, la sensibilité de la haute direction a également considérablement augmenté, souhaitant rester constamment à jour par rapport à l’évolution de l’initiative ».
Pour lire l’interview complète transcrite par Data Manager, cliquez ici.
Tous les projets
Raiffeisen
Du vol physique à l’attaque numérique, l’Association bancaire Raiffeisen investit dans la sensibilisation à la cybersécurité en recourant aux services du Cyber Guru.
Groupe Dumarey
Un an après l’adoption du programme de formation, le groupe Dumarey obtient un retour d’information important : sensibilisation accrue et diminution du niveau de risque.
ENEGAN
Grâce à la plateforme Cyber Guru, ENEGAN a obtenu des bénéfices objectifs, notamment sur les campagnes de phishing pour lesquelles il est possible d’obtenir un retour d’information fiable.