Quand culture de la cybersécurité rime avec réalité virtuelle

Entre les bandes de geeks sachant déjouer les vieux systèmes de sécurité informatique ou les gangs organisés de cyberpirates internationaux qui utilisent les systèmes cloud des entreprises pour leurs besoins personnels, les cybercriminels ne vont pas disparaître du jour au lendemain.

Et malheureusement les budgets cybersécurité des organisations continuent quant à eux de diminuer. Entre 2019 et 2020, ils ont chuté de 18,9 millions d’USD à 14 millions d’USD. Il ne reste qu’une solution pour les entreprises : se débrouiller comme des professionnels du secteur. Et cela passe par la mise en place d’une culture de la cybersécurité. 

Créer un état d’esprit cyber en entreprise

Si le concept de culture d’entreprise rime souvent avec nourriture gratuite, semaines de quatre jours et salle de sport high-tech, il désigne aussi et avant tout, les valeurs qui lui sont chères. Et la sécurité informatique devrait faire partie de cette culture car en réalité, chaque collaborateur a un rôle à jouer pour protéger l’entreprise des hackers.

En 2020, le service de réponse aux incidents d’IBM X-Force (IRIS) a établi que le phishing demeurait le premier vecteur d’infection, et qu’au premier trimestre 2021, le courrier indésirable représentait près de 50 % du volume total des e-mails. Et au total, ces spams contenaient plus de 38 millions de pièces jointes malveillantes. 

Le problème réside dans le fait que ces messages ne sont pas réceptionnés uniquement par les professionnels de la cybersécurité au sein d’une entreprise mais par l’ensemble des collaborateurs (cadres, juniors, stagiaires…). Pire, les pièces jointes ne sont parfois qu’une tête de pont pour des cyberattaques hautement sophistiquées. Les pirates informatique utilisent souvent le phishing comme outil d’infection initial, notamment pour propager des ransomwares. C’est le cas de REvil, un groupe cybercriminel notoire qui a extorqué la somme record de 50 millions d’USD à Acer en tenant ses données en otage. 

On croise aussi des cas tels que celui de Colonial Pipeline, le plus long oléoduc du territoire américain, qui a vu toutes ses activités interrompues pendant plusieurs jours à cause d’un ransomware. Les hackers avaient réussi à infiltrer le système en piratant le mot de passe d’un seul compte VPN pour accéder à l’ensemble du réseau du groupe.

Moralité de l’histoire : la cybersécurité n’est pas uniquement du ressort des services IT d’une entreprise. Elle incombe aux responsables, aux cadres dirigeants, aux managers… soit à toutes celles et ceux qui possèdent une adresse électronique. Sans même parler des services comptabilité ou RH, qui ouvrent des pièces jointes à longueur de journée : ils ne sont pas infaillibles et l’erreur est humaine. De la même façon, on ne saurait miser uniquement sur une solution de défense de pointe – même si un outil robuste de protection des terminaux est un bon point de départ.

C’est pourquoi il est plus que nécessaire de former les collaborateurs aux risques cyber. 

La gamification et la réalité virtuelle au secours de la formation cyber

Si la cybersécurité est souvent perçue comme une industrie jouant sur l’anxiété et la peur des individus, elle permet surtout de trouver des solutions et de réduire les risques cyber en entreprise. Son intégration aux processus métiers et la sensibilisation des collaborateurs sont des aspects primordiaux. 

D’après une récente étude de Kaspersky, près de deux tiers des employés n’ont reçu aucune forme de sensibilisation aux questions de cybersécurité depuis leur passage au télétravail. Mais il est suffisamment difficile de rester concentré lorsque l’on travaille à la maison, et personne ne se réjouit à l’idée de suivre une formation interne. 

Cependant, les nouvelles technologies peuvent remédier à cela. C’est le cas de la gamification et de la réalité virtuelle (RV) qui permettent de s’informer sur les dangers du phishing tout en s’amusant. 

La gamification donne l’opportunité de tester ses connaissances dans des situations de sécurité courantes tout en intégrant la notion d’enjeu. De plus, personne n’aime perdre. Et c’est beaucoup plus drôle quand il y a un enjeu. Soyons réalistes : il est beaucoup plus facile de fédérer des collaborateurs autour d’une culture de la cybersécurité en jouant sur l’aspect ludique.

La réalité virtuelle permet d’aller plus loin dans le concept de gamification en offrant une immersion totale dans les différents scénarios, avec à la clé un investissement accru et de meilleurs résultats pour les apprenants. Une étude de l’Université du Maryland nous rappelle que l’utilisation de casques de RV améliore la précision mémorielle. 

Les technologies de ce type — et les formations « gamifiées » en général — permettent de prendre du recul par rapport aux enjeux métiers des organisations et d’expérimenter les problématiques liées à un changement d’infrastructure informatique dans un contexte sécurisé. Il devient ainsi possible d’apprendre à élaborer un solide plan de communication de crise au cas où des données clients se volatilisent, ou à définir la politique la plus adaptée pour écarter les preuves de responsabilité directe, le tout de façon ludique pour que les collaborateurs s’en souviennent. 

En résumé, chaque organisation a le pouvoir de faire de ses collaborateurs de vrais professionnels de la sécurité. Elles ont toutes les cartes en main. La première étape consiste à accepter que la cybersécurité soit une priorité, et la seconde à admettre que ce n’est pas une discipline rébarbative se limitant à une répétition de lignes de code incompréhensibles sur un écran d’ordinateur.