La gamification : pour être plus fort que les cybercriminels !

La gamification : pour être plus fort que les cybercriminels !

En matière de cybersécurité, l’être humain est souvent le maillon faible. Pas assez sensibilisé aux risques numériques, il peut tomber facilement dans les pièges des pirates. Afin de mieux protéger leur patrimoine informatif, les entreprises doivent former leurs équipes à l’hygiène numérique. Les différentes déclinaisons de la gamification permettent aux salariés d'assimiler plus facilement les bons comportements liés à cette problématique. De maillon faible, l’élément humain peut devenir un maillon fort de la chaîne de sécurité, en augmentant le niveau de connaissance des risques et des bonnes pratiques.

Selon une étude publiée en 2016 par l’Institut Ponemon, 50% des fuites de données proviennent d’attaques cybercriminelles et 23 % sont dues à des erreurs humaines. Ce taux élevé confirme que les salariés ne sont pas assez sensibilisés aux bonnes pratiques en matière de sécurité informatique : utilisation de mots de passe complexes c’est-à-dire difficiles à deviner, recours au chiffrement des données sensibles, vigilance lors de la réception d’emails (phishing) pouvant usurper un organisme officiel, une administration ou même un partenaire...

Les techniques employées par les cybercriminels ou des salariés mal intentionnés (des fuites de données peuvent avoir une origine interne) offrent donc un terrain de choix pour le serious game. Sa vocation est d’inviter le salarié à interagir avec une application informatique dont l’objectif est de combiner des aspects d’enseignement, d’entraînement ou d’information, avec des ressorts ludiques et/ou des technologies.

L’objectif est de les sensibiliser de façon plus ludique, mais aussi de les mettre en situation afin qu’ils acquièrent les bons réflexes pour ne pas mettre en péril l’activité de leur entreprise.

Il existe différentes catégories de serious game : apprentissage ludique concernant les règles de base, mise en situation avec différents scenarii d’attaques, jeu de rôle en fonction des métiers à risques (directeur financier, comptable, dirigeant, cadre nomade...).

Et les résultats sont prometteurs. Selon un rapport commandé par Vanson Bourne pour McAfee et publié en avril 2018, 57 % des personnes interrogées* ont déclaré que l’utilisation des jeux permet de mieux sensibiliser les utilisateurs et le personnel IT aux risques d’intrusion. 77 % des cadres supérieurs affirment que leur entreprise serait mieux sécurisée s’ils utilisaient davantage la gamification.

Motivation

Cette catégorie présente en effet différents avantages. Le premier est de convaincre plus facilement le salarié qui suit une formation en e-learning. L’une des principales difficultés de la formation à distance concerne la solitude et le manque de motivation lorsqu’on se retrouve seul face à son écran d’ordinateur. En s’inspirant des codes du jeu, la gamification captive plus le stagiaire. Chacun se prend au jeu en tentant d’atteindre le niveau suivant et éventuellement d’obtenir plus de « points » que ses collègues. Ce regain de motivation est largement supérieur à celui des MOOC (dont les taux d’abandon des « Massive Open Online Courses » se situe entre 90 et 80 %).

Engagement des salariés

Le second avantage est d’améliorer ses connaissances et ses réflexes sans subir une session trop complexe, voire ennuyeuse. Dernier atout : elle renforce la motivation et la cohésion des équipes qui peuvent être amenées à relever des défis spécifiques à leur métier (comment déjouer une arnaque aux faux virements, une tentative d’usurpation d’identité d'un administrateur réseau ou de vol d’informations critiques...).

À la clé, le bénéfice est double. Premièrement, les salariés deviennent des « vigiles » de leur entreprise. L’engagement des collaborateurs peut ainsi se traduire par des suggestions d’amélioration de la politique de sécurité informatique, la découverte de bugs ou de vulnérabilités lors du développement d’un logiciel, d’un site web ou d’un appareil connecté.

Challenge

Deuxièmement, l’entreprise renforce la pérennité de son activité et peut mettre en place des petites piqures de rappel récurrentes en organisant des challenges via un serious game. C’est en mettant en situation de conditions réelles, sans risque pour les données, mais dans un scénario tellement immersif que l’on en oublie que c’est un jeu et les participants acquièrent les bons réflexes sans même y penser !

Mais pour profiter pleinement des bénéfices de la gamification, il est nécessaire de faire appel à des experts. Il convient en effet de déterminer la bonne formule qui sera la mieux adaptée aux particularités et aux priorités de l’entreprise. Même si ce type de formation reste ludique, l’objectif doit rester le même : renforcer la compétence des salariés et les garder éveillés aux menaces et techniques des attaquants. En étant confrontés aux différentes menaces plus ou moins fortes ou sophistiquées et en apprenant concrètement à utiliser des logiciels de sécurité, ils acquièrent de meilleurs réflexes, ce qui renforce tout l’écosystème de l’organisation. 

* 300 cadres supérieurs et 650 professionnels de la sécurité travaillant pour des entreprises des secteurs public et privé de 500 salariés et plus, aux États-Unis, au Royaume-Uni, en Allemagne, en France, à Singapour, en Australie et au Japon.