En chiffres
Utilisateur·rice depuis : Septembre 2023
Utilisateur·rices internes : ~600 et plus
Taux d’utilisateur·rices engagé·es : 86 %
Taux de rapport de simulation : ~ 63 % (très élevé)
Contexte
Fondé en 1925 pour offrir un emploi valorisant aux ancien·nes combattant·es, les Commissionnaires est une présence visible et intégrale dans le secteur de la sécurité au Canada depuis des générations. Comptant 23 000 employé·es, cette organisation est le plus important employeur d’ancien·nes combattant·es du secteur privé au Canada et la seule entreprise nationale de sécurité sans but lucratif.
Reconnaissant l’importance grandissante de la cybersécurité pour les entreprises canadiennes, en particulier les PME, les Commissionnaires ont élargi leur offre en 2018 pour fournir des services de cybersécurité comme l’analyse des cyberécarts, les renseignements sur les menaces, l’intervention en cas d’incident informatique et la surveillance des incidents, les tests d’intrusion et plus encore.
En mettant l’accent sur la cybersécurité, les Commissionnaires ont constaté la sophistication et la fréquence croissantes des attaques d’ingénierie humaine et ils/elles ont décidé qu’il fallait en faire plus pour renforcer leurs efforts de cybersécurité selon le facteur humain.
Nous nous sommes entretenu·es avec Rolland Winters, directeur de la cybersécurité, et Michaël Bergeron, spécialiste de la cybersécurité pour les Commissionnaires , afin d’apprendre comment ils y sont parvenus.
Centraliser les efforts de formation
Il peut être difficile de mettre en place un programme complet de formation en cybersécurité, surtout à l’échelle d’une organisation comme celle des Commissionnaires . Rolland a souligné les défis associés à la mise en œuvre d’un programme national : « Les Commissionnaires est une très grande organisation; nous sommes 23 000 employé·es réparti·es aux quatre coins du pays. Il n’est pas toujours facile d’implanter un programme national. Nous avons remarqué que plusieurs divisions achetaient les outils et les solutions, mais que peu d’entre elles prenaient le temps de vérifier que le contenu était distribué. »
Plutôt que de continuer à offrir différents programmes de formation parallèles à différents niveaux de maturité, l’organisation a décidé de centraliser la formation. Cette décision permettait non seulement d’obtenir de meilleurs résultats en matière de sécurité, mais aussi d’améliorer la gestion, le soutien, la production de rapports et l’engagement. Les Commissionnaires se sont ensuite mis·es à la recherche du/de la bon·ne partenaire.
Choisir CIRA
Les Commissionnaires avaient des exigences précises pour leur programme : il devait être efficace et avoir fait ses preuves, sa gestion devait pouvoir être assurée par plusieurs utilisateur·rices, ou « locataires », il devait comprendre un contenu de qualité supérieure et pertinent pour les Canadien·nes et, surtout, il devait correspondre aux valeurs de l’organisation. Ils/elles ont trouvé en CIRA leur partenaire idéale!
Éprouvé et efficace : si les Commissionnaires allaient remplacer leur programme, ils/elles devaient trouver une solution qui serait efficace et qui leur permettrait de vraiment améliorer leur position en matière de cybersécurité. Il a été prouvé que la formation en cybersécurité de CIRA contribue à réduire les clics sur les liens d’hameçonnage et à limiter d’autres comportements risqués.
Locataires multiples : la fonction « multilocataires » de la formation en cybersécurité permet aux Commissionnaires de gérer un programme cohérent tout en accommodant différentes parties prenantes ayant différents niveaux d’implication. Plus de détails à ce sujet plus tard.
Pertinence canadienne : comme il avait utilisé d’autres plateformes par le passé, Rolland comprenait l’importance du contenu. Auparavant, les Commissionnaires travaillaient avec KnowBe4 qui était incapable de fournir un contenu pertinent pour la population canadienne. Selon Rolland, « la plateforme est bonne, le contenu est bon, mais il est question d’escroqueries fiscales avec l’agence du revenu américaine et de plusieurs sujets qui ne sont pas pertinents pour les Canadien·nes. C’était la même chose avec les tests d’hameçonnage, ils n’étaient tout simplement pas adaptés à un public canadien. » Les Commissionnaires ont constaté que comme le contenu de la formation de CIRA est adapté à la population canadienne, ils/elles ont pu comprendre les menaces auxquelles ils/elles sont susceptibles de faire face et leurs équipes ont mieux saisi l’environnement dans lequel elles doivent travailler.
Harmonisation avec les valeurs de l’organisation : le fait que CIRA soit un organisme sans but lucratif correspondait aux valeurs des Commissionnaires . Rolland ajoute : « Ça nous convenait parfaitement; nous sommes également un organisme sans but lucratif. Nous soutenons les Canadien·nes et les ancien·nes combattant·es canadien·nes, et il était logique pour nous de travailler avec une entreprise qui partage les mêmes valeurs. »
Ainsi, après avoir comparé la formation en cybersécurité de CIRA à celles que d’autres chef·fes de file du marché proposaient, les Commissionnaires ont pris leur décision, puis le temps est venu de la mettre en œuvre.
Mise en œuvre en douceur
Le déploiement de la formation en cybersécurité de CIRA s’est déroulé sans heurt dès le début. Michaël n’a que des éloges pour le processus d’intégration : « L’équipe de soutien est toujours disponible, et nous étions en contact direct avec Philip, le spécialiste principal en solutions techniques de CIRA. La configuration s’est bien déroulée et la documentation couvrait l’infrastructure de Google et celle de Microsoft, ce qui a simplifié les choses. »
L’environnement était également idéal pour l’intégration des client·es qui avaient besoin d’une aide supplémentaire. Les Commissionnaires pouvaient fournir des comptes ou des démonstrations d’essai, assurant une transparence et une facilité d’accès pour l’ensemble des utilisateur·rices.
Grâce au processus de déploiement intuitif de CIRA et à l’équipe d’intégration et du service à la clientèle, les Commissionnaires ont pu déployer leur environnement complexe sans aucun problème.
Capacités multilocataires
Comme nous l’avons vu, la capacité de servir plusieurs divisions ayant des besoins différents était une exigence primordiale. Cela était nécessaire en raison d’une vérification nationale de la cybersécurité dans les 15 divisions, qui évaluait leur niveau de cybersécurité. La vérification a révélé des lacunes dans la formation en matière de sensibilisation, qui avait été mal mise en œuvre ou qui était incohérente dans le pays. La fonction « multilocataires » de la plateforme de CIRA était essentielle pour résoudre ce problème.
L’environnement de la formation en cybersécurité de CIRA permet à chaque division de gérer son propre programme de formation tout en faisant partie d’un programme national cohérent. Rolland a expliqué comment chaque division avait des exigences différentes : « Certaines d’entre elles veulent aller voir leurs propres résultats directement. Certaines veulent simplement recevoir le rapport à la fin de chaque mois. Ainsi, il était essentiel pour nous d’avoir cet accès basé sur les autorisations et cette location partagée. De plus, nous sommes probablement uniques, car nos divisions ne veulent pas seulement la formation, elles veulent également la vendre. Ainsi, quels que soient les besoins différents de chaque division, nous sommes en mesure de les satisfaire. Les permissions et les privilèges de chaque utilisateur·rice peuvent également être très détaillés. »
Cet accès granulaire basé sur les autorisations garantit que les bonnes personnes disposent du niveau d’accès approprié, ce qui améliore l’efficacité globale du programme de formation.
Expérience utilisateur·rice améliorée
L’administration est un élément clé d’un programme de formation réussi en cybersécurité; cependant, le véritable test consiste à amener les utilisateur·rices à s’engager avec la plateforme et à effectuer la formation qui leur a été attribuée.
Selon les Commissionnaires , l’expérience utilisateur·rice avec la plateforme de CIRA a été extrêmement positive. Les employé·es ont apprécié l’aspect ludique qui a ajouté un élément de plaisir indispensable à la formation. Rolland a déclaré : « Nous recevons beaucoup de commentaires de la part des employé·es au sujet de l’aspect ludique de la formation. Nous avons commencé à publier des rapports mensuels avec des tableaux de classement et à nommer les trois meilleurs employé·es de chaque division. »
Cette approche a transformé la sensibilisation à la cybersécurité qui n’est plus une tâche banale, mais plutôt une activité agréable. Les employé·es qui avaient autrefois peu d’intérêt pour la cybersécurité participaient activement maintenant et demandaient même plus de modules de formation pour améliorer leurs résultats.
L’intégration de la plateforme avec Microsoft Teams et Outlook a permis de simplifier davantage le processus de formation. Les employé·es ont reçu des notifications concernant leur statut en matière de formation directement dans leur flux de travail, ce qui leur a permis de rester sur la bonne voie.
« Le portail est beau et très utile. L’authentification unique permet de créer une expérience étroitement intégrée et transparente pour l’entreprise. Par contre, je crois que nous n’accordons pas assez d’importance à l’intégration de Teams. Pour notre équipe, la formation en cybersécurité de CIRA apparaît sous forme d’onglet sur le tableau de bord de Teams. Si les employé·es sont avisé·es qu’ils/elles prennent du retard dans la formation, il leur suffit d’accéder à Teams et de la terminer. Il s’est intégré à leur flux de travail normal, tout comme le bouton Signaler un hameçonnage qui est intégré directement dans Outlook. CIRA permet aux employé·es de participer facilement non seulement au contenu et à l’édition du programme, mais aussi dans une plateforme dotée d’outils qui les aident là où ils/elles se trouvent, ce qui, pour plusieurs d’entre eux/elles, est soit Microsoft Teams ou Outlook. »
Augmentation des rapports et des mesures proactives
L’efficacité de la plateforme de CIRA et de ses outils intégrés a permis aux utilisateur·rices de s’approprier leur parcours en matière de cybersécurité, ce qui a donné de meilleurs résultats. Après le lancement du programme, les Commissionnaires ont constaté une augmentation importante des signalements de courriels, ce qui leur a fourni des données précieuses pour améliorer leurs défenses.
Rolland explique : « Nous avons sous-estimé considérablement le nombre de courriels signalés que nous recevions et que nous devions analyser. Nous avons donc lancé une toute nouvelle initiative visant à réduire la quantité de pourriels et nous avons procédé à des évaluations du filtrage des courriels. Nous travaillons avec les divisions pour améliorer leur filtrage et nous mettons en œuvre le pare-feu CIRA DNS Firewall pour une protection supplémentaire. Cette période a suscité une grande réflexion. »
Les données saisies grâce aux rapports sur les courriels ont révélé des exemples concrets de campagnes d’hameçonnage; certaines étaient uniques à des divisions précises et d’autres concernaient plusieurs divisions. Ces renseignements ont permis aux Commissionnaires de renseigner leurs dirigeant·es et leur personnel sur la façon de reconnaître ces menaces et d’y réagir de façon efficace. Cependant, étant donné le nombre de menaces légitimes se retrouvant dans les boîtes de réception des utilisateur·rices, une meilleure solution pour les analyser a dû être mise en place.
Analyste de CIRA
Au départ, les Commissionnaires hésitaient à investir dans l’ajout d’Analyste en raison du coût supplémentaire. Rolland a admis : « Je pensais que cela nous faciliterait la vie, mais je n’ai pas vraiment compris à quel point il serait utile d’analyser les courriels de façon plus efficace. Sans Analyste, je ne sais pas comment nous pourrions traiter le volume de courriels que nous recevons. Cela s’est avéré être une bonne décision. »
Cet ajout a non seulement permis d’améliorer l’efficacité de la gestion des grandes quantités de courriels signalés, mais il a également permis aux Commissionnaires de traiter et d’analyser les courriels de façon plus efficace, assurant des réactions rapides aux menaces potentielles et fermant la boucle de rétroaction avec leurs utilisateur·rices.
Conclusion
Rolland a exprimé une immense satisfaction à l’égard du programme au nom de l’organisation : « Nous n’avons reçu que des commentaires très positifs. Nous avons eu une réunion avec le groupe de travail des technicien·nes et ils/elles n’avaient que des compliments à faire au sujet du programme. Je pense que tout le monde en est satisfait, et nous avons déjà des idées pour l’année prochaine et pour l’avenir. Je ne pourrais pas être un client plus heureux. »
Le partenariat entre les Commissionnaires et les membres de la formation en cybersécurité de CIRA s’est avéré un succès retentissant. En centralisant leurs efforts de formation, en profitant d’une plateforme multifranchise et en fournissant un contenu engageant et pertinent, les Commissionnaires ont considérablement amélioré leur position en matière de cybersécurité. Les commentaires positifs des employé·es et la hausse des signalements de courriels suspects témoignent de l’efficacité du programme. Alors que les cybermenaces continuent d’évoluer, les Commissionnaires sont bien équipé·es pour les affronter, grâce à leur approche proactive et au soutien fiable de CIRA. Les Commissionnaires utilisent la formation à l’interne, mais ils/elles la proposent également comme un service qu’ils/elles vendent à d’autres entreprises, ce qui contribue à assurer la sécurité d’un plus grand nombre d’organisations canadiennes.
