Projets

Stéphane Navarro (RSR, Kuoni) : « nous devons faire comprendre aux utilisateurs la gravité du vol d'identité »

Stéphane Navarro, responsable systèmes et réseaux chez Kuoni, apprécie de pouvoir gérer toute la sécurité à partir d’une console centralisée.

Le voyagiste Kuoni a recours à diverses solutions de Sophos pour assurer sa cybersécurité, notamment pour réaliser des campagnes de faux phishings pédagogiques.

PublicitéIssu du groupe suisse fondé par Alfred Kuoni en 1906, le voyagiste Kuoni France a d'abord pris son indépendance lorsque sa maison-mère a recentré ses activités autour de la prestation de services pour l'industrie du voyage, en 2013. Avec les marques Kuoni, Scanditours, Celtictours, Vacances Fabuleuses, Donatello, Emotions et Les Ateliers du Voyage, Kuoni France est depuis mars 2018 une filiale de DER Touristik, branche voyages du groupe de grande distribution allemand Rewe. Il a réalisé en 2019 un chiffre d'affaires en France de plus de 142 millions d'euros. Outre son siège de Saint-Ouen (au Nord de Paris), Kuoni dispose d'une dizaine d'agences de voyages pour traiter des clients directs grand public (huit en région parisienne, Nice et Lyon), de trois bureaux (Lyon, Strasbourg, Nantes) pour les clients directs professionnels (incentive, comités d'entreprises...) et d'un site e-commerce B2C auquel s'ajoute l'extranet B2B2C et un call-center pour la vente indirecte via des agences de voyages tierces, soit un total actuel de 160 collaborateurs. La sécurité du SI est donc à la fois celle du SI central mais aussi celle de postes de travail pour plusieurs sites, sans oublier le télétravail renforcé à cause de la crise sanitaire.

« Avant 2013, nous avions des contrats cadres suisses pour nos logiciels et il nous a fallu négocier de nouveaux contrats à cette époque avec, pour la cybersécurité, après appel au marché, Sophos » se souvient Stéphane Navarro, responsable systèmes et réseaux chez Kuoni. Depuis, le contrat a été plusieurs fois renouvelé et étoffé. Sophos est ainsi utilisé pour la sécurité des postes de travail, des serveurs, des accès réseaux... A cela s'ajoute, depuis 2019, l'emploi du service Sophos Phishthreat pour créer de fausses campagnes de phishing à but pédagogique. Stéphane Navarro se réjouit : « nous disposons d'une console centrale pour tout manager et avoir tout le reporting dont nous avons besoin, y compris Phishthreat ».

Apprendre à se prémunir du phishing

L'usage de Sophos Phishthreat repose sur un portail web. Le responsable créé une campagne à partir de templates types (banques, messageries en ligne, envois de scans par les multifonctions, mails de la DRH, etc.), qu'il peut personnaliser. Il va ensuite planifier et cibler la campagne, y compris avec des capacités d'envoi en mode décalé afin que tous les utilisateurs d'une entreprise ne reçoivent pas en même temps le même message. Quand l'utilisateur reçoit le message, s'il clique, il arrive sur un message pédagogique débouchant sur une vidéo d'e-learning. Ceux qui auraient dû regarder cette vidéo et qui ne l'ont pas fait sont, le cas échéant, relancés. L'administrateur va alors disposer d'un reporting précisant le nombre de messages reçus, ouverts, cliqués, etc.

Publicité« Nous devons faire comprendre aux utilisateurs la gravité du vol d'identité (identifiants, mots de passe...) et comment s'en prémunir » insiste Stéphane Navarro. Depuis 2019, Kuoni procède à environ deux campagnes par an (la dernière a eu lieu entre la fin 2020 et le début 2021) en plus de mails pédagogiques réguliers. Stéphane Navarro reconnaît : « parfois, nos faux phishings sont assez vicieux et personnalisés, proches du contexte de l'entreprise. Cela a notamment été le cas de notre première campagne où le taux de clic était de l'ordre de 30 %. Aujourd'hui, on est plutôt sur du 15 à 20 %. » Les utilisateurs acquièrent des réflexes : un mail d'origine externe, issu d'un inconnu pour un objet trop beau, c'est forcément un risque. « Désormais, certains utilisateurs nous transmettent des mails pour avis » note avec satisfaction Stéphane Navarro.

Une bonne préparation à la crise sanitaire

Une autre problématique, notamment en matière de sécurité, a été la crise sanitaire et la généralisation induite du télétravail. Kuoni fait bien sûr partie d'un secteur particulièrement touché par la crise sanitaire sur le plan économique. Mais, à l'inverse, l'entreprise était plutôt bien préparée à la généralisation du télétravail. « Nous pratiquons le télétravail depuis 2013-2014 » relève Stéphane Navarro. Celui-ci a été mis en place progressivement pour l'ensemble du personnel (en dehors des postes nécessitant des gestes de proximité), les call-centers ayant notamment dû attendre une adaptation du SI. Cette généralisation avait permis d'affronter les grèves SNCF et la crise des Gilets Jaunes.

Lors de la crise sanitaire, il a juste fallu redimensionner le réseau (auprès de l'opérateur Colt), ce qui a pu être fait en environ un mois. Toute la sécurité nécessaire était en effet déjà en place. Stéphane Navarro indique : « il a juste fallu être capable d'assumer le passage d'un télétravail pour une vingtaine de personnes simultanément à la quasi-totalité de l'effectif (hors personnes en chômage partiel) ».