Comment Oppens sensibilise les clients entreprises de Société Générale au phishing

Fruit du programme d’intrapreneuriat ISC (Internal Startup Call) de Société Générale, la solution de cybersécurité Oppens a été créée fin 2019 puis lancée au premier semestre 2021. “Oppens est une filiale à 100 % du groupe”, précise son directeur général David Prache. Son but initial : améliorer la cybersécurité des TPE et PME, dans un contexte d’explosion des cybermenaces depuis la crise sanitaire. Arrivée avec une ambition assez généraliste, la start-up “a opéré un pivot pour proposer une offre davantage axée sur la sensibilisation et la formation des collaborateurs”, indique le dirigeant. 

“Au début, nous voulions être une marketplace de services techniques pour guider les entreprises vers les services qui leur étaient les plus adaptés, et nous avons gardé nos partenaires pour les prestations d’audit de cybersécurité, les pentest [tests d’intrusion, Ndlr], la gestion de crise, la sauvegarde des données, etc. Mais dans 8 cas sur 10, nous commençons par de la sensibilisation, de la formation des collaborateurs et des simulations de phishing”, explique David Prache. Pour ce dernier, les entreprises ont saisi l’importance de la cybersécurité et se sont équipées de plusieurs outils en ce sens. “Les assureurs imposent des pré-requis techniques année après année et les entreprises s’adaptent. Mais elles ont compris que le point faible se situait au niveau de l’humain”, a constaté le directeur général avant de remodeler sa stratégie. C’est pourquoi Oppens a fait du phishing son cheval de bataille. 

Simulations de phishing

“Notre produit phare porte sur l’entraînement en continu au phishing. Il permet de déclencher quatre simulations par an [qui se traduisent par des envois de mail ou de SMS, Ndlr]. Les collaborateurs qui ont cliqué sur nos liens reçoivent ensuite une invitation à suivre un micro-learning”, expose David Prache. La répétition des pièges permet ainsi de vérifier si les recommandations sont suivies dans le temps, quelques mois plus tard. Par ailleurs, les simulations ne sont pas les mêmes à chaque fois. “Nous varions la difficulté des tests, en accord avec le donneur d’ordres. Nous pouvons aller loin dans l’expérience avec, par exemple, la création d’un faux site ou de pop-up Teams pour demander le mot de passe et voir si le collaborateur partage ses données confidentielles”, souligne Arnaud Vallée, directeur de la division SI de Société Générale et responsable de la stratégie chez Oppens. Les experts d’Oppens échangent, en amont et en aval, avec le commanditaire afin de définir la stratégie à adopter en fonction de l’entreprise et pour débriefer les campagnes.

Lancé avec l’ambition de servir les PME, Oppens sert désormais “des TPE de cinq collaborateurs aux grands groupes de plus de 15 000 personnes, qui comptent des salariés dans le monde entier”. L’équipe a d’ailleurs traduit ses services dans plusieurs langues. Dans le cas d’entreprises d’envergure, Oppens réalise des campagnes sur-mesure et propose un service en marque blanche. “La construction d’une campagne et de micro-learning sur mesure prend d’une à plusieurs semaines. Nous cherchons à accélérer ce délai, mais quelques actions techniques doivent être menées en amont de la simulation, comme autoriser un nom de domaine étranger, par exemple”, détaille Arnaud Vallée. De la même manière, la formation en continu peut aussi être plus personnalisée. “Pour que leurs salariés ne se lassent pas, nos gros clients ont demandé des animations plus élaborées pouvant prendre la forme d’une newsletter sur leur intranet ou d’un jeu cyber”, complète David Prache.

Oppens a également pensé aux plus petites entreprises qui manquent de budget dédié à la cybersécurité ou à celles qui voudraient essayer une simulation avant de passer au service annuel. La filiale de Société Générale a en effet développé PhishU, un produit sur étagère. Sans rendez-vous préalable, un chef d’entreprise (ou un DAF, un responsable de la cybersécurité, etc.) peut commander une simulation. Il lui en coûtera au minimum 490 euros HT (588 euros TTC) pour 100 collaborateurs destinataires du mail d’intrusion. Les équipes d’Oppens peuvent ainsi se concentrer sur leurs services à plus haute valeur ajoutée. Le produit de simulation en continu débute lui au prix de 1 960 euros par an jusqu’à 100 salariés, puis 3,20 euros par an par salarié en plus.

Agrément Qualiopi pour la formation

Les modules de formation adressés aux salariés testés varient également, tant dans le contenu – à la marge – que dans le format. “Après la première simulation, il y a une formation qui fait un état des lieux de la menace. Puis il est possible de déclencher des formations en complément. Nous disposons de fiches pratiques, d’e-learning, de quiz par mail…”, revendique Arnaud Vallée.

La société propose en outre, en dehors des simulations, de la formation seule, “en physique, distanciel ou hybride, avec tout l’effectif de l’entreprise ou avec des métiers spécialisés. Par exemple, les techniques d’ingénierie sociale et de fraude au président ciblent davantage les départements de comptabilité, qui ont accès aux moyens de paiement”, illustre Arnaud Vallée. Pour convaincre les entreprises de faire appel à ses services, Oppens a notamment obtenu l’agrément Qualiopi, qui permet aux sociétés de réaliser des demandes de financement de formation aux OPCO (opérateurs de compétences).

Des partenaires cyber triés sur le volet

Pour compléter le segment “sensibilisation”, Oppens a aussi développé une marketplace de services cyber. La société oriente ainsi ses clients vers des partenaires, audités au préalable. La start-up réoriente donc ses clients vers Lexfo (audits techniques et tests d’intrusion), Pradeo (sécurité des flottes mobiles), Wooxo (solutions de sauvegarde et de restauration), LDLC (matériel informatique), Anozr Way (identification des salariés vulnérables), Sunbren (administration des systèmes informatiques), LockSelf (envoi sécurisé de documents – société certifiée par l’ANSSI et accompagnée par platform58), Phosforea (e-learning), Neowave (authentification forte), Yogosha (pentest), ESET (antivirus), Cyberwatch (gestion des vulnérabilités) et Zero Trust (SOC).

Plus de 80 % des clients issus du réseau Société Générale

Bien que les deux responsables interrogés clament une indépendance certaine entre Oppens et le groupe bancaire, la relation entre les deux entités est étroite. Tout d’abord, l’équipe d’Oppens opère son recrutement au sein de l’entité bancaire. “Oppens compte 12 collaborateurs répartis en France. Ils viennent du groupe Société Générale : filière RSSI, experts en moyens de paiement, trésorerie et flux d’entreprise…”, liste David Prache. 

Les clients sont eux aussi majoritairement issus du réseau. Les conseillers bancaires en agence promeuvent Oppens auprès de leur clientèle d’entreprises en quête d’un accompagnement en cybersécurité. “Nous avons déjà suivi 400 clients, dont plus de 80 % sont des clients de Société Générale”, affirment les cofondateurs. Le reste des clients d’Oppens provient essentiellement du bouche-à-oreille, selon Arnaud Vallée, qui met en avant un NPS de 80 points (calculé auprès des donneurs d’ordres, des collaborateurs bénéficiaires des formations et des conseillers bancaires qui recommandent la solution). Oppens bénéficie aussi de la marque Société Générale affichée sur son site et sur ses communications. Au total, le groupe a investi 2,8 millions d’euros dans la start-up.

L’apport d’affaires fonctionne par ailleurs à double sens puisqu’Oppens redirige les clients de Société Générale – quelques dizaines pour l’instant – vers le groupe pour les demandes en cyberassurance (mais pas nécessairement les clients venus d’ailleurs). “Techniquement, nous pouvons accompagner un autre réseau bancaire, nous sommes indépendants. Mais nous n’avons pas eu d’opportunité, ce n’est donc pas un sujet”, estime le directeur général.

20 % du chiffre d’affaires vient des partenaires cyber

Au terme de sa première année de commercialisation, soit à la fin 2021, Oppens a dégagé un chiffre d’affaires de 118 000 euros pour une perte nette de 134 000 euros. “80 % du chiffre d’affaires vient de nos offres de mesure du risque et d’entraînement des salariés. Le reste est issu des commissions que nous percevons de nos partenaires en tant qu’apporteur d’affaires”, note David Prache.

D’autres objectifs sont affichés pour 2023. “Nous lançons un nouveau concept de gamification et d’ancrage de la culture cyber en entreprise, nous améliorons l’offre pour que les entreprises puissent déclencher leur campagne de phishing elles-mêmes et nous développons un maillage de revendeurs locaux”, énumère Arnaud Vallée. La société entend compter 400 nouveaux clients durant l’année et renforcer l’accompagnement par les partenaires.