Cybersécurité : la gamification au service de la formation

0
105
Une étude menée actuellement classe l’erreur humaine dans le top 3 des principales causes de violations de données — juste derrière les attaques malveillantes ou criminelles. Voilà qui donne à réfléchir…
 
Tribune GlobalSign – La plupart des collaborateurs n’ont aucune intention de nuire à leur entreprise, mais c’est ce qu’il se produit, bien malgré eux. La cause ? De mauvaises habitudes de gestion des mots de passe, une absence de cadrage des pratiques de navigation en ligne ou encore un malencontreux clic sur un lien inséré dans un e-mail malhonnête. On comprend pourquoi les employés, et a fortiori leurs employeurs, peuvent rapidement devenir la proie des pros de l’ingénierie sociale ou de l’hameçonnage, ou même pire.

Si de nombreux employeurs affirment avoir instauré des mesures efficaces pour aider leurs employés à faire face aux cybermenaces, la réalité est toute autre. Ainsi, quelques études imputent les deux tiers des atteintes à la cybersécurité à la négligence ou la malfaisance de certains employés. À l’heure où les actes de cybercriminalité s’intensifient, certaines organisations et agences gouvernementales font front face aux difficultés qui sont nombreuses. Elles cherchent notamment des solutions pour stimuler la participation active de leurs collaborateurs à des formations en cybersécurité efficaces et pour recruter des candidats qualifiés dans ce domaine. La gamification est l’une des stratégies sur lesquelles elles peuvent de plus en plus s’appuyer.

Qu’est-ce que la gamification appliquée à la cybersécurité ?
On appelle gamification l’utilisation des mécaniques et de la philosophie du jeu pour faire participer des utilisateurs à la résolution de problèmes et pour les motiver en introduisant des éléments de compétition et de récompense. De nombreuses entreprises s’appuient déjà sur le jeu lorsqu’elles intègrent de nouvelles recrues et cherchent à développer l’engagement client. Aujourd’hui, elles perçoivent également l’intérêt de la gamification pour des formations sur la cybersécurité déployées en interne.

D’après une étude Pulse Learning, 79 % des participants (apprenants en entreprise et étudiants universitaires) déclaraient qu’un environnement d’apprentissage plus ludique aurait un impact bénéfique sur leur productivité et leur motivation. Selon cette même étude, la gamification présenterait les avantages suivants : motivation accrue, participation plus active, meilleur feedback sur la performance et augmentation de la productivité.

Comment les entreprises utilisent-elles la gamification pour leurs formations en cybersécurité ?

 
Le jeu Game of Threats™ a été développé par Price Waterhouse Cooper pour aider les cadres supérieurs et les conseils d’administration à tester et renforcer leurs compétences en cyberdéfense. « À la base, Game of Threats est un jeu de prise de décision stratégique conçu pour récompenser les bonnes décisions des joueurs et pénaliser les équipes qui prennent les mauvaises décisions. Les joueurs en ressortent avec une meilleure compréhension de ce qu’ils doivent faire pour mieux protéger leur entreprise »explique PwC. Depuis son lancement, le jeu a connu un tel succès que l’entreprise envisage maintenant de développer d’autres jeux plus spécifiquement axés sur la criminalité financière et la gestion de crise.
 
Partant du constat qu’il lui fallait repenser sa méthode pour mieux mobiliser ses employés, l’entreprise Beaumont Health Systems a introduit l’apprentissage par le jeu en 2014. « Notre précédente formation sur la sécurité en mode PowerPoint s’était révélée d’un ennui mortel », explique Scott Larsen, directeur des opérations et de l’architecture cybersécurité chez Beaumont Health Systems au journal Mobi Health News. « C’était très peu interactif, très stérile et inintéressant. La formation n’avait pas appréhendé ce qui intéressait l’utilisateur final. » En combinant une approche basée sur le jeu avec des contenus interactifs et des formats d’enseignement traditionnels, Beaumont a su rendre ses formations en cybersécurité plus efficaces. Résultat : ses employés se montrent désormais beaucoup plus proactifs dans leur façon d’aborder la cybersécurité.

Sur un marché du recrutement hyper concurrentiel, la gamification permet aussi d’attirer les meilleurs talents en cybersécurité. Basé au Royaume-Uni, Cyber Security Challenge organise chaque année des compétitions pour trouver, tester et recruter des candidats en cybersécurité.

 
« Nous avons vu que les méthodes de recrutement traditionnelles utilisées dans d’autres secteurs ne fonctionnent pas dans le monde de la cybersécurité », déclare Stephanie Daman, PDG de Cyber Security Challenge U.K., à Tech Crunch. « On observe cependant des schémas communs chez les joueurs et les personnes qui démontrent de bonnes compétences dans notre secteur. »
Les ingrédients d’une stratégie de gamification réussie
Pour les entreprises qui cherchent à gamifier leurs formations en cybersécurité, il peut être utile de bien comprendre ce qui fait le succès des meilleures formations basées sur le jeu.

Supports visuels
Photos et vidéos sont utiles pour faire passer un message rapidement, tout en maintenant la participation active des employés.

Formations courtes et percutantes
Les formations les plus efficaces sont courtes. Mieux vaut organiser plusieurs séances de dix minutes tous les deux jours pendant six semaines qu’une unique séance de trois heures.

Éléments ludiques
Un jeu est censé être ludique. On oublie cependant un peu trop facilement cet aspect essentiel lorsque l’on est concentré sur l’élaboration d’une stratégie de formation complète.

Récompenses
Les récompenses sont l’un des éléments phares d’une démarche basée sur le jeu, car en encourageant les apprenants, elles entretiennent leur motivation.

L’IA et l’apprentissage machine, pourquoi pas ?
La maîtrise par les pirates informatiques de nouvelles approches toujours plus sophistiquées fait constamment évoluer le monde de la cybersécurité. Pour suivre le rythme, certaines entreprises renforcent leurs formations « cybersécurité » à l’aide de technologies avancées comme l’intelligence artificielle et l’apprentissage-machine (machine learning).

Connaissance du public visé
Pour intéresser, votre jeu doit être conçu de telle sorte à trouver un écho auprès du public visé. L’étude des goûts des collaborateurs ainsi que l’observation de ce qui les motive et des appareils qu’ils utilisent vous permettront bien souvent d’établir un socle solide sur lequel bâtir une formation efficace.

Des formations au long cours…
L’idéal serait de dispenser ces formations en continu et pas en une session unique. En suivant les progrès des collaborateurs tout au long d’un jeu, avec des récompenses à certaines étapes clés, on maintient leur intérêt sur le long terme.

La gamification modifie la façon dont les organisations conçoivent et mettent en œuvre leurs formations à la cybersécurité. Les entreprises s’appuient non seulement sur le jeu pour leurs formations en interne, mais aussi pour le lancement de chasses au trésor. Ces programmes récompensent les hackers éthiques et les chercheurs qui sauront débusquer et signaler les bogues cachés dans le système d’information de l’entreprise.

Comme le rapporte le site TNW, « la chasse au trésor la plus intéressante est celle organisée par Uber qui a su introduire des éléments de compétition et une dimension ludique pour entretenir la motivation des meilleurs chercheurs. Les participants peuvent gagner jusqu’à 10 000 $ lorsqu’ils découvrent des bogues critiques. »
Alors que le pays peine à pourvoir des milliers de postes de spécialistes en cybersécurité et à lutter efficacement contre la cybercriminalité, l’aspect novateur des techniques d’apprentissage est indispensable dans ce domaine. Une bonne compréhension des aspects théoriques peut s’avérer utile pour sensibiliser entreprises et particuliers à la cybersécurité et leur permettre de développer leurs compétences, mais rien ne vaut la pratique pour maîtriser efficacement et en profondeur un sujet. D’où l’intérêt de la gamification.
Vous souhaitez entretenir le niveau de formation de votre entreprise et la protéger dans un monde où la cybercriminalité se complexifie ? Nous vous invitons à approfondir le sujet avec les ressources proposées ci-après !