Que ce soit par un comportement malveillant ou par des erreurs d’inadvertance, les employés représentent vraisemblablement le plus grand risque pour les systèmes et les données sensibles. Un rapport récent de Crowd Research Partners montre que plus de 90 % des entreprises se sentent vulnérables face à une menace interne. En plus des méthodes de formation classiques, les entreprises cherchent de plus en plus d’autres solutions immersives pour mieux gérer ce risque. C’est là que la gamification entre en jeu.
La gamification est un processus consistant à impliquer les gens et à les amener à changer leur comportement à l’aide de mécaniques ludiques repris dans un contexte non ludique. Il s’agit essentiellement d’appliquer tout le plaisir des jeux à des situations qui ne sont pas nécessairement aussi agréables, comme d’empêcher le prochain pirate d’infiltrer le réseau d’une entreprise.
Grâce à la gamification, les organisations trouvent de nouveaux moyens de former les employés sur l’importance de la cybersécurité en exploitant des éléments de jeu. Elles peuvent, par exemple, mettre en place des compétitions 1 contre 1, des programmes de récompenses, et bien plus. La gamification permet de rendre le processus de formation plus excitant et plus stimulant pour les employés, de développer les connaissances des employés en matière de pratiques de cybersécurité, notamment sur la bonne gestion des attaques.
Nous avons listé six moyens différents d’utiliser la gamification pour améliorer la posture de cybersécurité en entreprise :
1- Reconnaître les comportements positifs pour la cybersécurité
Les employés présentent un risque important pour la sécurité des données sensibles de l’entreprise. La gamification permet de récompenser les employés qui respectent les règles, ce qui encourage les comportements positifs. Par exemple, dans cette approche, les utilisateurs peuvent recevoir des badges à imprimer après avoir envoyé leur premier, dixième et centième e-mail sans déclencher d’alerte de sécurité des données — ce qui permet d’encourager un comportement positif.
| Lire aussi le dossier de la rédaction : Sécurité, L’intelligence collective à l’épreuve
Une fois qu’un employé possède une impressionnante collection de badges numériques, l’entreprise peut l’inciter à maintenir ce bon comportement dans la durée, grâce à des récompenses tels que des chèques-cadeaux ou des avantages dans l’entreprise. Au contraire, si un employé continue à faire preuve d’un mauvais comportement dans un contexte de gamification, cela peut représenter un signal d’alerte pour l’entreprise ou montrer un besoin de formation complémentaire en cybersécurité.
Évidemment, Jean ne sera probablement pas le seul à pouvoir y accéder plus facilement. À commencer par Google, par exemple…
2- Parler de protection des données
La gamification permet à une organisation d’établir un nouveau mode de communication autour de la protection des données, qui encourage un dialogue ouvert entre les employés pour discuter des façons de gérer correctement les données sensibles, ce qui est crucial maintenant que le RGPD est entré en vigueur. Plutôt que de considérer le sujet comme ennuyeux ou étrange, les employés sont encouragés à parler de leurs accomplissements, de leurs défis ou des leçons apprises grâce au système de gamification.
| Lire aussi l’article : RGPD : trois conseils pour éviter les arnaques
3- Augmenter la fréquence des formations en cybersécurité
La plupart des organisations savent que la formation de cybersécurité la plus efficace est celle qui se répète régulièrement tout au long de l’année. Toutefois, une majorité des entreprises n’adhère pas à ce cycle de formation, par manque de temps et de ressources. La gamification permet aux employés de travailler sur leur manque de connaissance et crée un sens de responsabilité individuelle en matière d’hygiène des données, qui, en fin de compte, modifie les comportements sur le long terme.
4- Impliquer les employés
Le personnel doit être encouragé à imprimer et afficher les badges sur son espace de travail, et les managers incités à reconnaître les bons comportements par la publication d’un classement mensuel des meilleurs employés. Les utilisateurs sont instantanément impliqués dans le jeu — ou la formation — en cours grâce à des compétitions amicales et à la collecte de badges. Cela améliore la communication interne, crée de nouvelles relations, et améliore l’implication globale des employés dans l’entreprise.
5- Trouver des talents de cybersécurité
Trop peu de personnes choisissent une carrière dans la cybersécurité et la plupart des sociétés se retrouvent avec des postes vacants. Des organisations comme Cyber Security Challenge essaient de s’attaquer à ce manque de talent en organisant des compétitions annuelles, lors desquelles les joueurs sont confrontés à des situations de menace simulée et doivent les contrer à l’aide de leurs compétences. Les gagnants se voient ensuite proposer des offres d’emplois lucratifs dans de grandes sociétés technologiques et des organismes publics qui sponsorisent les challenges.
Évidemment, Jean ne sera probablement pas le seul à pouvoir y accéder plus facilement. À commencer par Google, par exemple…
6- Auditer pour mesurer l’efficacité
Évidemment, l’efficacité de la gamification tient à l’application des leçons apprises des scénarios réels auxquels sont confrontés les employés. C’est pourquoi il est essentiel que les entreprises mesurent l’efficacité de la gamification sur la réduction des véritables risques pour les données. Les organisations doivent mener régulièrement des audits et des évaluations de cybersécurité dans l’entreprise afin de déterminer quels employés continuent à poser un risque en dehors de l’environnement du jeu.
La gamification est particulièrement efficace en matière de renforcement de la conformité chez les employés. Elle réduit le temps de formation en encourageant vos employés à apprendre au fur et à mesure et à développer de bons comportements qui permettront à la cybersécurité de se positionner solidement dans votre entreprise.