Sensibiliser à la cybersécurité par le jeu

Les pirates informatiques chercheront toujours à s’introduire au sein d’un système d’information (SI) de la plus simple des manières. Lorsque celui-ci est suffisamment sécurisé d’un point de vue technique, ils tentent alors d’exploiter des failles humaines.

Les chiffres sont en effet éloquents : 99% des collaborateurs ont déjà effectué au moins une action mettant les données de leur employeur en danger*. La sensibilisation à la cybersécurité est ainsi devenue un réel enjeu pour les entreprises.

Les collaborateurs sont souvent sensibilisés lors de sessions rassemblant une plus ou moins grande partie d’entre eux dans une salle de réunion ou par visioconférence, où sont présenté différents supports de présentation qui semblent être conçu pour cocher les cases plutôt que pour faire réellement assimiler certaines bonnes pratiques.

Ce type de sensibilisation comporte de nombreuses contraintes, notamment celle, pour les collaborateurs, de devoir emmagasiner un très grand volume d’informations en un temps restreint. La session présentielle étant unidirectionnelle, les collaborateurs se sentent moins impliqués, donc moins concentrés, ce qui influe sur la quantité d’informations retenues.

Les outils informatiques ont permis de pallier ce manque d’interactivité. Dans les années 2000, l’e-learning s’est démocratisé grâce à l’apparition d’outils open-source. Les entreprises ont ainsi déployé des parcours de sensibilisation et de formation sur divers sujets, dont la cybersécurité. L’e-learning présente en effet de nombreux avantages : sensibilisation d’un grand nombre de salariés, possibilité d’inclure des cas pratiques et de faire évoluer les contenus avec la politique de sécurité, etc.

Cependant, l’e-learning seul ne suffit pas, car il ne permet pas de créer une réelle appétence à la cybersécurité et d’éveiller la curiosité. De plus, il est important de varier les vecteurs de sensibilisation pour faire passer un message efficacement. Ces formations numériques permettent difficilement de renouveler la manière dont les messages sont transmis, ce qui entraîne une lassitude des apprenants. Tout miser sur l’e-learning serait donc une erreur.

Les deux approches décrites précédemment ont un point commun : les collaborateurs sont passifs. Pour une meilleure efficacité, il est donc intéressant de les impliquer davantage.

Apprendre de manière ludique, c’est mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle et amusante, qui va associer dans l’inconscient la cybersécurité à un moment positif. L’idée étant de créer des campagnes de sensibilisation marquantes, ludiques et renforçant la cohésion d’équipe.

Marquer les esprits

Pour marquer les esprits des collaborateurs, le mieux est de réaliser des démonstrations concrètes, qui permettent de matérialiser les conséquences d’une attaque informatique.. Cela permet en effet de matérialiser les conséquences d’une attaque informatique.

Notre expérience montre que les démonstrations de piratage d’outils bureautiques, via, par exemple, de fausses campagnes de phishing ou des prises de contrôle de PC à distance font leur effet.  Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.Ces démonstrations illustrent bien que les piratages informatiques sont réels, et n’ont pas lieu qu’au cinéma.

Dynamiser l’apprentissage

Pour dynamiser l’apprentissage, nous avons adapté des concepts connus permettant l’appropriation rapide des animations et des notions par les participants. Ces animations jouent avec l’esprit de compétition des participants pour favoriser la recherche des bonnes réponses. Deux exemples :

• Code de la cybersécurité : Le principe est simple. 1 question, 4 propositions, 1 bonne réponse.  Chaque participant est équipé d’une télécommande pour voter. Nous abordons les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.
• Questions pour un cyber-champion : Grâce à plus de 200 questions et des buzzers sonores, nous abordons les bases de la cybersécurité.  Des plus simples (bonnes pratiques, protection des données personnelles, etc.) au plus difficiles (protocoles sécurisés, attaques informatiques, équipements de sécurité, etc.).

Renforcer l’esprit d’équipe

L’apprentissage collaboratif est l’un des plus efficaces. La discussion permet la reformulation et la réappropriation des notions. Bénéfice supplémentaire, ce travail d’équipe va participer au renforcement des liens entre les salariés.

Voici quelques exemples de jeux que nous avons créés :

Nous proposons un jeu de cartes, qui permet de découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit naviguer, tout en déjouant les attaques informatiques de ses adversaires grâce à l’application de bonnes pratiques de sécurité.

Nous avons également créé un escape game permettant aux collaborateurs de se mettre dans la peau d’un espion. Par équipe de cinq, ces espions doivent voler une formule secrète en moins d’une heure. Pour cela, ils vont tirer parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants, qui peuvent être réalisé physiquement et même à distance, n’ont pas vocation à remplacer les plus traditionnels, mais permettent aux entreprises d’adopter de nouvelles approches. Cette démarche aura le bénéfice de susciter un intérêt particulier auprès des collaborateurs pour comprendre les risques et enjeux de la sécurité des SI et d’éveiller leurs appétences à la SSI.

Notes : *Intermedia, 2017, Data Vulnerability Report