Comment gamifier la formation à la cybersécurité pour renforcer les compétences et l'engagement des collaborateurs
La gamification de la formation en cybersécurité permet de développer les compétences techniques et humaines essentielles tout en maintenant l'engagement des collaborateurs.
Le paysage des cyberattaques évolue, les attaques deviennent plus complexes et le coût de la cybercriminalité continue d’augmenter. Dans ce contexte, l’intelligence artificielle (IA) ne fait qu’aggraver les risques, avec les deepfakes toujours plus crédibles et des techniques de phishing de plus en plus ciblées. La formation, quant à elle, a peu changé : les présentations PowerPoint et les questionnaires ne suscitent pas la dynamique d’équipe et la réflexion critique, pourtant indispensables pour faire face à une attaque. Au cours de ma carrière, j’ai découvert que les expériences de formation gamifiées apportent une excellente réponse à ce besoin.
Le degré de préparation et de résilience des entreprises face aux menaces n’est pas en phase avec les progrès accomplis par les cybercriminels : quatre PDG sur dix pensent que la cybersécurité nécessite des interventions épisodiques plutôt qu’une attention constante. Ce n’est pas la réalité vécue par un grand nombre d’entreprises. La préparation aux cybermenaces nécessite un effort de formation concerté pour que les équipes de cybersécurité soient prêtes quand une attaque se produira inévitablement.
Les professionnels de la cybersécurité évoquent souvent la curiosité comme trait de personnalité essentiel dans leur métier, et la plupart apprécient les approches pratiques. Cet état d’esprit s’accorde très bien avec des expériences ludiques comme les compétitions et les parties de capture de drapeau (CTF). Si vos équipes apprécient déjà ce type de compétitions amicales, ou si certains membres ont participé à des clubs d’informatique au lycée ou à l’université, ils connaîtront déjà ce type de formation et seront ravis de le retrouver dans le cadre professionnel.
Voilà quelques pistes de réflexion pour les responsables qui voudraient mettre à jour leurs programmes de formation et aider leurs équipes à se préparer à cette nouvelle ère de cybermenaces :
Comprendre les priorités, les initiatives et les risques de l’entreprise
Lorsqu’on sait qu’une violation de données peut coûter jusqu’à 4,5 millions de dollars, une entreprise ne peut pas se permettre des dissensions entre équipes lors d’une urgence, alors chaque minute compte. Les formations croisées sont indispensables et devraient figurer en bonne place dans tout programme de développement. Elles n'aident pas seulement mieux gérer les crises, elles aident aussi et surtout à créer un véritable esprit d'équipe violette ("purple team") et renforcent celles-ci. Il peut être très intéressant, par exemple, qu’un analyste du SOC joue à des jeux conçus pour l’équipe rouge, ou qu’un ingénieur en sécurité offensive s’attaque à l’analyse des journaux et à la criminalistique. Bien que les chefs d'équipe ne devraient pas nécessairement s'attendre à ce que leurs professionnels de la gouvernance ou du risque fassent des analyses forensiques mémoire ou des défis de codage sécurisé, privilégier les formations collaboratives lorsque c'est possible et pertinent (y compris hors ligne, dans le cadre d’une escape room par exemple) renforcera l’efficacité de la collaboration dans les moments importants.
Les décideurs devraient prendre le temps d’identifier les lacunes de connaissances (ou de couverture), et d’évaluer leur impact sur l’entreprise. Cela peut être fait en examinant les leçons apprises lors des réponses aux incidents précédents, des audits, mais aussi en échangeant avec les autres acteurs. Il s’agit de comprendre les objectifs stratégiques de votre organisation, cartographier les compétences nécessaires par rapport à ces objectifs, puis construire le plan de formation. Par exemple, si vous travaillez dans une entreprise industrielle ou manufacturière, des secteurs où la sécurité représente une métrique décisive pour l’entreprise, il peut être intéressant d’étudier les plateformes de formation qui mettent l’accent sur la sécurité des systèmes de contrôle industriel. Si, au cours d’un précédent incident, vous avez observé qu’une configuration défaillante dans une application web avait été à l’origine de la compromission, misez en priorité sur une formation axée sur le renforcement, la défense et l’exploitation des vulnérabilités courantes de ces applications.
Les formations trop compétitives ou trop sophistiquées ne sont pas synonymes de meilleurs résultats
La formation peut – et doit – être gratifiante, et la gamification rend les récompenses plus claires pour les collaborateurs. Adaptez-vous au niveau actuel de vos équipes et augmentez la complexité au fil de l’acquisition des compétences. Il peut être décourageant et néfaste de lancer un programme de formation qui, par sa difficulté excessive, ne fera que cultiver le syndrome de l’imposteur chez les participants. Une formation plus difficile, plus compétitive et plus chère ne produira pas nécessairement de meilleurs résultats.
Il existe un large choix de programmes et d’environnements de formation gratuits, créés par la communauté. Encouragez l’exploration des Capture the Flags (CTF) gratuits, ou utilisez des plateformes comme KC7 ou HackTheBox pour évaluer les forces et les faiblesses de vos équipes avant d’opter pour des services payants et des formations d’entreprise sur mesure.
Il n’est pas non plus obligatoire que la formation se fasse sur un ordinateur. Les jeux donnent aux équipes l’occasion de s’organiser de façon autonome, d’établir des stratégies, de gérer leur temps et de développer la communication, tout en apportant des ressources et des conseils stratégiques. À cet égard, un exercice collectif comme une escape room ou un jeu de cartes comme Backdoors and Breaches de Black Hills Infosec peuvent être très intéressants. Ces activités font émerger des leaders inattendus, et chaque participant peut apprendre à connaître les points forts de ses collègues.
Le but n’est pas nécessairement que vos équipes obtiennent 100 % de bonnes réponses au questionnaire de fin, mais bien qu’elles aient des « déclics » et découvrent des méthodes qu’elles ignoraient.
Les formations gamifiées dévoilent des compétences inattendues
L’expertise technique des équipes de cybersécurité est un enjeu de taille : une formation ludique permet de mettre au jour et de développer les compétences transversales indispensables pour arrêter ou neutraliser une menace, comme l’empathie, la capacité à déléguer et la gestion du temps.
Dans un CTF en équipe, par exemple, j’ai observé que les meilleurs joueurs avaient plusieurs traits en commun. Les bons capitaines d’équipe savent évaluer avec empathie les points forts de leurs coéquipiers, réussissent grâce à la planification et la communication, et élaborent une stratégie en phase avec les talents de chacun. Comme les meilleurs responsables de la cybersécurité, les excellents joueurs de CTF sont conscients que le succès ne repose pas sur une licorne ou une rock star, mais bien sur une pluralité d’individus capables de résoudre les bons problèmes en fonction de leurs spécialités.
L’autre leçon essentielle que j’ai tirée des débuts de ma carrière en CTF concerne la gestion du temps. On a parfois l’idée de commencer par se débarrasser des problèmes les plus simples pour se lancer, mais on peut se retrouver à manquer de temps pour relever les défis plus délicats par la suite. Comme dans le monde du travail, les jeux montrent que le temps et les ressources que nous pouvons consacrer à différentes tâches sont limités, et nous devons évaluer leur valeur en fonction du temps, des compétences et des outils disponibles. Savoir sélectionner les défis à relever de façon stratégique et les traiter dans le bon ordre, en particulier quand il est impossible de tous les résoudre, est une analogie des décisions que nous prenons face aux risques stratégiques et au tri des incidents dans le contexte professionnel.
Nos tactiques de formation et de développement doivent évoluer pour préserver la motivation des équipes de cybersécurité et les préparer à nouveaux défis. Il existe de nombreuses synergies entre les jeux (y compris ceux qui ne sont pas directement liés à la sécurité) et le travail dans la cybersécurité. Dans une étude, les trois quarts des cadres supérieurs interrogés disaient envisager de recruter un passionné de jeux, même sans expérience spécifique dans la cybersécurité. Ceux qui ont acquis les compétences de planification et de coordination nécessaires pour animer ou participer à des parties de jeu de rôle sur table ou des compétitions d’e-sport peuvent constituer un vivier potentiel de talents curieux, motivés et doués pour la résolution de problèmes – autant de qualités précieuses pour le secteur.
Miser sur des formations ludiques et les activités d’équipe pour mobiliser différentes méthodes de réflexion peut jouer un rôle clé dans cette entreprise, tout en atténuant la lassitude induite par les ateliers et les présentations plus arides. Dans leurs efforts pour relever le défi de la pénurie de talents et de compétences en cybersécurité, les jeux offrent aux employeurs et aux chefs d’équipe d’excellentes occasions d’améliorer la collaboration et les savoir-faire des équipes.