Faire de la sécurité des utilisateurs un jeu que vous pouvez gagner

Le concept de la gamification n'est pas nouveau et de nombreuses marques surfent régulièrement sur ce concept de points et de gains pour fédérer les consommateurs et booster leurs ventes (le Monopoly de McDonald est un exemple qui parlera sûrement à de nombreux lecteurs). Alors pourquoi pas appliquer ce concept au monde de l’entreprise, et plus spécifiquement à celui de la cybersécurité ?

Car quelle meilleure manière pour apprendre et se former à un sujet complexe que le jeu ? Gagner des points, des vies et passer des niveaux pour apprendre les bonnes pratiques sécurité en matière d’emails, de sites web ou de réseaux sociaux est certainement plus motivant que des formations Powerpoint, enfermé dans une salle de réunion… La clé du succès ?  L'interactivité. L’interactivité encourage l’investissement des utilisateurs, lequel favorise l’assimilation et le maintien des connaissances.

Le potentiel de la gamification pour booster un programme de sensibilisation à la cybersécurité n’a finalement de limite que l’imagination. Une "compétition amicale" va indéniablement susciter de l'intérêt auprès des utilisateurs et améliorer la réussite du programme. Alors, comment s'y prendre ?

1. Obtenir l'adhésion des parties prenantes 

Il ne s’agit pas seulement de convaincre les cadres supérieurs. Commencez par convaincre des personnes à différents niveaux et fonctions et encouragez-les à défendre le projet avec vous. Après tout, tout le monde est concerné par la cybersécurité.

2. Définir les paramètres de réussite

N'oubliez pas que vous bénéficierez d’une plus grande flexibilité si vous disposez d'outils de mesure fiables. Voici quelques indicateurs de réussite à privilégier :

  • Non-détection d’emails de phishing simulés (à côté de combien de messages frauduleux créés par vous-même vos collaborateurs sont-ils passés ?)
  • Emails de phishing simulés et réels signalés (combien de messages frauduleux ont-ils réussi à détecter ?)
  • Utilisation d’une clé USB corrompue
  • Suivi d'une formation dans le délai stipulé
3. Déterminer une formule de notation

Vous devez également déterminer s’il y aura des gagnants individuels ou des "groupes de gagnants" (par département, agence, etc.). Voici quelques idées :

  • Si un utilisateur ne clique pas sur un email de phishing simulé, il remporte un point. Un signalement rapporte deux points. Les clics entraînent la déduction d’un point.
  • Les utilisateurs qui ne cliquent pas une seule fois sur toute une série d’attaques simulées sont automatiquement classés dans le groupe des gagnants.
  • Les utilisateurs qui clôturent la formation au cours de la première semaine gagnent 3 points. Ceux qui la terminent dans les 30 jours gagnent un point. Ceux qui la terminent dans un délai de plus de 30 jours ne gagnent aucun point.
4. Choisir les récompenses

Même si les récompenses ne doivent pas nécessairement être de nature monétaire, cela n’est pas non plus exclu. Vous pouvez envisager les options suivantes :

  • Les meilleurs (ceux qui ne cliquent pas) gagnent automatiquement ou sont mis en jeu pour remporter une des cartes-cadeaux à gagner.
  • Le groupe le plus performant gagne un dîner gastronomique ou une box cadeau.
  • Les meilleurs seront cités lors d’une réunion d’entreprise, valorisés dans une newsletter d’information mensuelle ou dans le cadre d’un autre espace d'information public.
5. Informer sur les activités à venir

Ne négligez pas la communication autour de votre programme. Vous pouvez rester général dans votre approche ou plus spécifique si vous le souhaitez, mais il est important de définir des attentes, de préciser clairement les avantages et d’essayer de susciter un intérêt immédiat. Remarque : si vous simulez des attaques par phishing, il est préférable d’être relativement vague sur le début du programme et de communiquer à ce sujet au moins une semaine avant l’envoi de votre première fausse attaque.

6. Place au jeu !

Après la communication, il ne reste plus qu’à lancer le programme. La sensibilisation et la formation à la cybersécurité étant considérées en quelque sorte et a tort comme un "mal nécessaire", un peu de créativité et d’originalité peuvent faire toute la différence et contribuer à améliorer le taux de participation et, plus important encore, attirer davantage l'attention.

Les entreprises ayant choisi la voie de la gamification pour améliorer les pratiques en matière de cybersécurité constatent rapidement des résultats positifs au sein du personnel, notamment un intérêt accru pour ces thèmes et davantage de discussions sur les usages, les pièges dans lesquels on ne veut plus tomber ; ce qui se concrétise finalement par une baisse des clics, d’une diminution des infections par des programmes malveillants et une meilleure efficacité des collaborateurs.