La gamification : battre les cybercriminels

La gamification : battre les cybercriminels !

En cybersécurité, l’humain constitue souvent le maillon faible. Un manque de connaissance des risques numériques peut facilement conduire les employés à tomber dans les pièges des fraudeurs. Pour mieux protéger leurs actifs informatiques, les entreprises doivent former leurs équipes à l’hygiène numérique. Les différentes formes de gamification permettent aux collaborateurs d’adopter les bons comportements dans ce domaine. Ainsi, le facteur humain, initialement considéré comme une faiblesse, peut devenir un maillon fort de la chaîne de sécurité en renforçant la sensibilisation aux risques et aux bonnes pratiques.

Selon une étude publiée par le Ponemon Institute en 2016, 50 % des violations de données résultent d’attaques de cybercriminels et 23 % sont causées par une erreur humaine. Ces chiffres élevés confirment que les employés ne sont pas suffisamment sensibilisés aux bonnes pratiques de cybersécurité : utilisation de mots de passe complexes et difficiles à deviner, chiffrement des données sensibles, vigilance face aux emails (phishing) pouvant usurper l’identité d’une organisation officielle, d’une administration ou même d’un partenaire…

Les techniques utilisées par les cybercriminels ou les employés malveillants (les fuites de données pouvant également provenir de l’intérieur) constituent un terrain favorable au développement des serious games. Ceux-ci encouragent les employés à interagir avec des applications informatiques combinant des aspects éducatifs, de formation ou d’information avec des éléments ludiques et/ou technologiques.

L’objectif est de rendre la sensibilisation plus agréable, mais aussi de placer les collaborateurs dans des situations réalistes afin qu’ils développent les bons réflexes pour protéger les activités de leur entreprise.

Il existe différentes catégories de serious games : apprentissage ludique des règles de base, simulations avec divers scénarios d’attaque, et jeux de rôle adaptés aux profils exposés (CFO, comptable, directeur, responsable mobile, etc.).

Les résultats sont encourageants. Selon un rapport commandé par Vanson Bourne pour McAfee et publié en avril 2018, 57 % des répondants affirment que la gamification améliore la sensibilisation aux risques d’intrusion chez les utilisateurs et les équipes IT. 77 % des cadres dirigeants estiment que leur entreprise serait plus sécurisée si elle utilisait davantage la gamification.

Motivation

Cette approche présente plusieurs avantages. Le premier est de mieux convaincre les employés suivant une formation en e-learning. L’un des principaux défis de la formation à distance est l’isolement et le manque de motivation face à un écran. En introduisant des éléments ludiques, la gamification rend l’apprentissage plus motivant. Les utilisateurs sont incités à atteindre le niveau suivant et à obtenir plus de “points” que leurs collègues. Les niveaux de motivation sont bien plus élevés que dans les MOOC (Massive Open Online Courses), dont le taux d’abandon se situe entre 80 % et 90 %.

Engagement des collaborateurs

Le deuxième avantage est l’amélioration des connaissances et des réflexes, tout en évitant des sessions trop complexes ou monotones. Le dernier avantage est l’augmentation de la motivation et de la cohésion des équipes, qui peuvent relever des défis liés à leur métier (comment déjouer une fraude au virement bancaire, une tentative d’usurpation d’identité d’un administrateur réseau, un vol d’informations critiques, etc.).

Les bénéfices sont doubles. D’une part, les employés deviennent les “sentinelles” de leur entreprise. Leur engagement peut conduire à des suggestions d’amélioration de la politique de cybersécurité et à la détection de failles ou vulnérabilités lors du développement de logiciels, sites web ou objets connectés.

Défi

D’autre part, l’entreprise sécurise ses activités et peut organiser des challenges réguliers de serious games. Les utilisateurs sont placés dans des situations réalistes, sans risque pour les données, mais dans des scénarios suffisamment immersifs pour qu’ils oublient qu’il s’agit d’un jeu et développent naturellement les bons réflexes.

Pour tirer pleinement parti de la gamification, il est toutefois essentiel de faire appel à des experts afin de définir la formule la mieux adaptée aux spécificités et priorités de l’entreprise. Même si la formation reste ludique, les objectifs sont sérieux : renforcer les compétences des collaborateurs et les sensibiliser aux menaces et techniques des attaquants. En les confrontant à différents niveaux de menaces et en leur apprenant à utiliser des outils de sécurité, ils développent de meilleurs réflexes, ce qui renforce l’ensemble de l’écosystème de l’organisation.