Formation

L’Homme, « maillon fort » de la cyber-sécurité de demain ?

Le | Contenu sponsorisé - Digital learning

Une entreprise qui sensibilise ses collaborateurs diminue de 76 % ses dépenses liées à la cybersécurité. C’est possible avec Keep An Eye Out, un serious game pour sensibiliser ses collaborateurs aux risques liés à la sécurité informatique.

L’Homme, « maillon fort » de la cyber-sécurité de demain ? - © D.R.
L’Homme, « maillon fort » de la cyber-sécurité de demain ? - © D.R.

TV 5, Sony, Orange, les centrales nucléaires de l’Iran…, l’actualité nous le démontre tous les jours, les cyber-risques n’ont cessé de croitre ces dernières années. Difficile pour autant de se sentir concerné quand ces attaques, d’une ampleur à chaque fois plus grande, touchent des entités qui paraissent si loin de nous.

On estime pourtant aujourd’hui que :

  • Les cyberattaques représentent un coût d’environ 400 milliards de dollars par an pour l’économie mondiale[1]
  • 75 % des entreprises du CAC 40 auraient fait l’objet de cyberattaques ces dernières années[2]
  • Les erreurs humaines sont à l’origine des 3 incidents type les plus fréquents en 2014 (perte de services essentiels, vol ou disparition de matériel, panne d’origines internes)[3]

La transformation numérique est en marche. Elle s’est invitée dans toutes les sphères : personnelle, professionnelle, celle des entreprises et des états. Le Blue Tooth, Le Cloud, le Wifi, le BYOD (Bring Your Own Device), les objets connectés… permettent une démultiplication de l’accès au numérique, augmentant du même coup les cyber-risques. Jean-François Pépin, délégué général du CIGREF, interrogé à ce sujet, déclare : Transformation numérique et cybersécurité sont indissociables !  Ce qui touche à la mobilité, l’accès de l’informatique en service, etc. sont en tant que tels porteurs de menaces […]

La transformation numérique est une accélération, tout ce que l’on fait dans le cadre de cette transformation impacte considérablement la sécurité. L’interpénétration des réseaux, la fourniture d’information et la connexion entre nos systèmes et ceux de nos fournisseurs est beaucoup plus vulnérable que par le passé !

La 7ème édition du Forum International de la Cybersécurité (FIC) qui s’est tenue en janvier dernier posait clairement la question du rôle que jouait la cybersécurité dans la transformation numérique. Les débats ont porté sur les 3 dimensions qui permettent une articulation forte entre transformation numérique et cybersécurité : l’innovation, les données et l’humain. « L’Homme est à la fois le maillon faible mais aussi potentiellement le maillon fort.  »

Les dépenses liées à des incidents de sécurité informatique sont 76 % moins importantes pour les entreprises qui sensibilisent leurs collaborateurs aux risques et aux bonnes pratiques à appliquer que pour les autres, peut-on lire dans l’étude “US cybercrime : Rising, risks, reduced readiness” menée entre autres, par le cabinet Pricewaterhouse Coopers (PwC), la division CERT de l’université Carnegie Mellon et le magazine CSO en 2014.

Le CIGREF ne s’y est pas trompé. La cybersécurité est au cœur des préoccupations de ses 140 grandes entreprises membres. Pour agir dans le sens d’une réduction des dépenses liées à des incidents de sécurité informatique, Le CIGREF a souhaité mettre à disposition des entreprises un Serious Game de sensibilisation à la sécurité numérique des données.

Jean-François Pépin : La cybersécurité est désormais un véritable sujet de gouvernance pour l’entreprise dans son ensemble, y compris depuis le Conseil d’administration. D’ailleurs, de plus en plus de dirigeants et de comités d’entreprises sont demandeurs d’interventions pour s’informer sur la cybersécurité qui ne relève plus seulement des RSSI. La Direction générale doit s’en saisir et pour cela, les DSI doivent être capables de convaincre la Direction !

L’expérience montre [par ailleurs] que chacun est concerné par la cybersécurité de son entreprise, pas seulement les dirigeants ou les responsables de la sécurité des systèmes d’information. Nous sommes tous susceptibles de mettre en péril, faute de sensibilisation aux risques, le capital informationnel de l’entreprise.

Pourtant 77 % des salariés français pensent que leur comportement n’a pas d’incidence sur la sécurité des données de leur entreprise.

Et Jean-François Pépin d’ajouter : Le « maillon faible » est certainement humain ! Dès lors, qu’il soit acteur, victime de malveillances ou à l’origine de maladresses pouvant créer des vulnérabilités, il convient de prendre en compte ce constat et d’agir. Très vite, la pertinence de recourir à un Serious Game pour sensibiliser les collaborateurs de l’entreprise s’est imposée.

Le CIGREF en partenariat avec Daesign, éditeur de contenus interactifs innovants destinés à la formation, professionnelle et initiale, au bien-être et au développement personnel a donc conçu et réalisé un Serious Game de sensibilisation innovant et immersif à destination de 47 entreprises partenaires, soit un million d’utilisateurs potentiels : Keep An Eye Out.

Keep An Eye Out est un jeu d’aventure dynamique, ludique et scénarisé dans un univers en 3D temps réel.

Le joueur est chargé de veiller sur deux collaborateurs, Alex et Camille, qui doivent effectuer un déplacement professionnel risqué, impliquant la manipulation de données confidentielles issues de leur entreprise virtuelle. Il opère dans l’ombre, réagissant aux actions qu’Alex et Camille entreprennent, palliant leurs imprudences, interagissant avec leur matériel informatique ou en influençant les personnages qui les entourent. 5 Missions sont actuellement disponibles et permettent de traiter des situations de la vie professionnelle quotidienne dans des univers différents tel que le bureau, le domicile, la gare, l’hôtel, une salle de réunion…

Objectifs du jeu :

  • Faire prendre conscience de l’importance de la sécurité numérique
  • Faire connaître les mesures de sécurité à appliquer au quotidien
  • Impliquer les joueurs de manière ludique

Les actions du joueur influent sur le niveau de sécurité des données de l’entreprise et sur les fuites potentielles d’informations vers la concurrence. Le joueur obtient donc en temps réel du feedback sur l’impact de ses choix. A l’issue de chaque mission, il accède à un débrief complet qui lui prodigue conseils et commentaires sur les comportements à adopter pour réduire les risques liés à la sécurité des données.

A la question de savoir pourquoi avoir choisi un Serious Game pour sensibiliser à la cybersécurité, Jean-François Pépin répond :

En matière de formation, le Serious Game a déjà fait ses preuves. Son aspect ludique en fait un outil particulièrement efficace : « On obtient un taux de satisfaction de 83 % d’apprenants contre 50 % pour le e-learning traditionnel. L’attractivité de ce mode de formation est plus forte. On a 100 % des apprenants Serious Games qui vont jusqu’au bout du jeu, alors que 70 % des apprenants ne terminaient pas un parcours e-learning classique. On mesure aussi le succès de ce mode d’apprentissage au travers d’enquêtes de satisfaction clients », expliquait Jean-François Gibouin de Renault Academy, en septembre 2012 lorsqu’il retraçait l’expérience de Renault, engagée dès 2009. 

L’aspect ludique du Serious Game contribue efficacement à l’évolution des processus cognitifs des individus, évolution nécessaire quand l’entreprise aborde des virages aussi radicaux que ceux dus au numérique ! Mais le changement ne s’improvise pas.

Le Serious Game permet sans risque l’apprentissage par essai-erreur.

La sécurité des données reste, en dépit de son importance cruciale pour les entreprises, un sujet difficile à aborder, souvent considéré par les collaborateurs comme trop technique, contraignant et inintéressant. Il est donc primordial de trouver une manière de faire passer les messages clés en matière de sécurité auprès de l’ensemble des collaborateurs, au moyen d’un outil qui remporte l’adhésion de tous.

Dans ce contexte, la solution du Serious Game convient parfaitement à la situation. Ce nouveau vecteur de formation permet de faire aisément passer les messages clés, tout en faisant adhérer les utilisateurs à un outil ludique innovant, qui adopte une démarque pédagogique attractive et stimulante et qui s’adapte à la disponibilité des utilisateurs.

Depuis son lancement en Février 2015, c’est déjà plus d’un millier de collaborateurs qui se sont formés avec Keep An Eye Out, via la plateforme de diffusion en ligne de Daesign.

A l’heure où les données font l’objet de piratages massifs et à tous les niveaux, il est plus que jamais nécessaire d’intégrer des programmes de sensibilisation à la stratégie globale de sécurité des entreprises, et ce quelle que soit leur taille.

Keep An Eye Out !

Rédactrice, Isabelle Artus, chef de projet chez Daesign

Biographie Expert :

Jean-François PEPIN (EMBA HEC) est Délégué Général du CIGREF depuis 2001. Passionné par les questions de formation, il est notamment intervenu dans le domaine de la sécurité routière. Il enseigne par ailleurs le Management des Associations à l’IAE de Paris.