Comment Rakuten a transformé la sensibilisation à la cybersécurité grâce au Design Thinking
Étude de cas
Chez Rakuten, leader du e-commerce et des services numériques, la cybersécurité, c’est du sérieux. Mais malgré l’importance du sujet, une vraie difficulté persistait : comment sensibiliser efficacement les employés à la sécurité numérique ? Idéalement jusqu’à ce que ça devienne un réflexe au quotidien.
Les CISO (Chief Information Security Officers), responsables de la cybersécurité dans l’entreprise, cumulaient déjà plusieurs missions et manquaient de temps pour mettre en place une stratégie de sensibilisation claire et efficace. Résultat : les employés n’intégraient pas toujours les bons réflexes en matière de sécurité.
Rakuten avait donc besoin d’un plan d’action concret et actionnable, capable de transformer la perception de la cybersécurité au sein de l’entreprise. C’est là qu’intervient notre mission : aligner les décideurs, identifier les freins et co-construire une stratégie percutante.
Client
Rakuten
Durée
1 mois
Services
Design thinking
Le défi : engager tout le monde autour d’une vision commune
Le principal défi ? Aligner toutes les parties prenantes. Et en tout premier lieu, les dirigeants et CISO des 8 filiales européennes. Les dirigeants, les équipes IT et les employés avaient chacun leur propre vision du problème, rendant difficile la mise en place d’un plan d’action cohérent.
Les freins identifiés :
✅ Un manque de clarté sur le cadre et les objectifs du projet de sensibilisation.
✅ Une perception différente des enjeux selon les équipes et selon les pays.
✅ Une adoption compliquée des bonnes pratiques en raison de contraintes culturelles et organisationnelles.
L’idée n’était donc pas seulement de “former” les employés, mais de changer les mentalités et les habitudes en matière de sécurité numérique.
L'approche : le Design Thinking au service de la sensibilisation cybersécurité
👉 Étape 1 : Comprendre
Des conversations avec chacun des décideurs impliqués ont montré des contradictions et des surprises. Ce qui nous a permis d’orienter tout de suite le travail exploratoire quantitatif sur la confirmation ou non de ces premières hypothèses.
👉 Étape 2 : Mesurer l’invisible
Nous avons analysé l’impact des différences culturelles entre les filiales européennes de Rakuten, en nous appuyant sur les travaux d’Erin Meyer sur le management interculturel. Résultat ? Malgré certaines disparités, la culture “Rakuten” était un levier puissant pour fédérer les équipes.
Nous avons également analysé les profils sécurité de chaque entité en reprenant le travail de Dr Lance Hayden, que nous avons ensuite comparés entre eux. Contrairement aux idées reçues existantes chez les leaders, les entreprises ont toutes des profils équilibrés.
Cultural gap analysis, d’après les travaux d’Erin Meyer
Exemple de graphique de type Security profile, obtenu en appliquant les travaux du Dr Lance Hayden
👉 Étape 3 : Organiser un workshop stratégique
Nous avons réuni les CISO, CEO et CTO des 8 pays concernés autour d’un atelier interactif court pour clarifier les objectifs et cadrer le problème.
L’objectif de cet atelier était de :
- Rétablir un cadre de communication sain en prenant en compte différents points de vue.
- Identifier les causes profondes du manque de sensibilisation à la sécurité.
- Co-construire une feuille de route d’actions prioritaires.
👉 Étape 4 : Identifier les causes profondes du manque de sensibilisation
En rétablissement communication et compréhension entre les décideurs, nous avons pu brainstormer de manière constructive et efficace. Grâce à des méthodes comme le Spectrum Mapping et l’Analyse des Causes Racines, nous avons identifié trois grandes obstacles qui empêchaient une adoption efficace des bonnes pratiques de cybersécurité.
👉 Étape 5 : Construire une feuille de route actionnable
En s’appuyant sur ces insights, nous avons co-construit avec les participants une roadmap d’actions prioritaires, adaptée aux besoins réels des équipes.
C’est moi, en pleine conclusion du workshop.
Résultats : une approche structurée et actionnable
Les actions mises en place ont permis d’obtenir des résultats concrets en seulement un mois :
- Un alignement des décideurs : Pour la première fois, les C-level (CEO, CTO, CISO) partageaient une vision commune ET claire sur les enjeux de cybersécurité.
- Des indicateurs de suivi définis : Création d’un cadre de mesure pour évaluer la maturité en cybersécurité et suivre les progrès sur le long terme. En s’appuyant sur des critères comme la maturité en cybersécurité, les habitudes des équipes et leur niveau de connaissance.
- Une roadmap d’actions claires : 3 causes profondes ont été identifiées en remontant à la racine du problème. Ce qui a permis de prioriser les initiatives les plus impactantes pour garantir une adoption progressive et efficace.
✨ Témoignage du client
"We used to think we are the experts about the issue and understand the problem precisely in some extent. After the Design Thinking workshop, I feel it was wrong. The workshop brings us the different way to approach the problem!"
— Head of Rakuten EU Security
Ce qu’il faut en retenir : changer la culture, pas juste les outils
Cette mission chez Rakuten nous a confirmé une chose essentielle : la sensibilisation à la cybersécurité, ce n’est pas juste une question de formation, c’est un changement culturel.
Les clés du succès pour ce type de transformation :
✅ S’assurer de l’alignement plein et entier des décideurs en tout premier : avant même de lancer un brainstorming.
✅ Faire adhérer les leaders : Quand les dirigeants montrent l’exemple, toute l’entreprise suit.
✅ Apporter de la clarté et du pragmatisme : Pas de jargon inutile, mais des messages clairs et actionnables parce que les collaborateurs ont besoin de transparence.
✅ Impliquer les employés dès le début : Un projet qui inclut les équipes dès la phase de réflexion a bien plus de chances d’être adopté.
En 1 mois, on est passés du chaos à une roadmap d’actions priorisées