Sensibiliser à la cybersécurité ? Laetitia Maynard, directrice opérationnelle de Phosforea, solution de formation en cybersécurité du groupe Scassi, prêche dans cet avis d’expert pour la méthode de la gamification.
Avec la montée en puissance des attaques cyber, le mot « sensibilisation » est de plus en plus mis sous les projecteurs. Nombreuses sont les initiatives mises en place pour sensibiliser les collaborateurs à la cybersécurité, afin d’en faire les meilleurs remparts pour leurs entreprises.
Cependant, si cette prise de conscience et ces efforts sont essentiels, la manière de faire n’en n’est pas pour autant toujours évidente.
Sensibiliser est certes une priorité pour les entreprises, mais pas à tout prix. L’expérience a souvent prouvé que sensibiliser ses collaborateurs sans les faire adhérer complétement à la démarche peut être une perte de temps. En d’autres termes, il faut faire comprendre aux équipes le pourquoi de cette sensibilisation afin d’obtenir leur engagement. Comment faire ? En diversifiant les canaux de sensibilisation avec une approche ludique, pédagogique et engageante.
On parle alors de gamification. Et ça change tout.
La gamification, l’atout ROI du RSSI
Face à la cyber-malveillance, les entreprises montent en maturité. L’époque où l’on cochait la case « sensibilisation » en convoquant simplement les salariés à une plénière en amphithéâtre est révolue. La monté en complexité des attaques de cybersécurité s’accompagne d’une montée en maturité des entreprises et organisations.
Et chacun est alors en droit de réclamer des outils efficaces pour atteindre son but : changer les comportements dangereux face aux menaces cyber.
On s’autorise alors à parler de ROI : Return on Investment ; ou de manière plus juste : Retour sur les Attentes. Car oui, la formation et la sensibilisation des collaborateurs est un investissement et chaque euro, ou chaque minute de temps investis, doivent porter leurs fruits.
Des fruits qui se mesurent en termes de réflexes acquis face à des menaces de cybersécurité.
Il ne faut donc plus penser compliance, à savoir « j’ai sensibilisé les équipes, le travail est fait », mais plutôt résultat « mes collaborateurs ont changé leur comportement, c’est un gage d’engagement et un indicateur fort de la performance du dispositif mis en place ».
Alors, comment fait-on ?
Pour aider les RSSI dans leur montée en maturité sur ce sujet, la gamification est la clé.
Avec des contenus différents, plus ludiques et diversifiés, on s’assure de l’intérêt des collaborateurs, de leur fidélité et de leur engagement au dispositif.
Pour créer l’engagement et l’adhésion de son public, le RSSI doit avant tout faire comprendre à ses collaborateurs pourquoi il est essentiel de suivre le programme.
Cela passe souvent par des rencontres de visu. Chez Phosforea, nous avons créé un jeu de cartes, sur le principe du 1000 Bornes®, qui se veut à la fois ludique et pédagogique. On observe qu’en introduisant des programmes de sensibilisation avec ce jeu, le message est mieux assimilé. Les équipes créent du lien social, découvrent les types d’attaques et de défenses à mesure qu’elles manipulent les cartes et tendent des pièges à leurs adversaires. C’est 1000 fois plus efficace qu’un discours.
La diversification étant de mise et les salariés étant de plus en plus connectés, il est également essentiel d’intégrer au dispositif une appli de Mobile Learning. Avec 80% de personnes possédant aujourd’hui un smartphone, une appli mobile vient considérablement booster une campagne. Nous avons ainsi conçu une appli de Mobile Learning entièrement dédiée à la cybersécurité. Elle offre à nos, déjà nombreux, utilisateurs la possibilité d’appréhender le sujet de la cybersécurité, pas toujours évident au premier abord. Elle permet, en d’autres termes, de « briser la glace » et de donner envie aux collaborateurs d’aller plus loin.
C’est là qu’interviennent les contenus de e-learning. Plus longs et documentés que ceux proposés sur des jeux de cartes ou sur une appli mobile, s’ils sont bien conçus, ils entérinent l’engagement du collaborateur. Les Capsules, telles que nous les avons nommées chez Phosforea, ne dépassent pas les 5 minutes, sont opérationnelles et ne traitent que d’une seule problématique à la fois, avec une fiche de synthèse en fin de lecture. Alors qu’aujourd’hui les apprenants sont sur-sollicités, les contenus du type de nos Capsules se concentrent sur une seule thématique et son orientés « utilisateurs » et non plus « entreprises ».
C’est la multiplication des canaux de sensibilisation et la gamification qui permettront au RSSI de répondre aux changements de paradigme de la sensibilisation, en lui apportant des performances mesurables et des résultats visibles.
Alors ne sensibilisez plus, gamifiez !