La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.
Je vous propose ci-dessous pour clôturer le Cybermois :
- Un jeu proposé par l’ANSII pour vous tester
- Un article sur l’apprentissage de la cybersécurité par les serious games
Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.
ILLUSTRATION
C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr
Et vous, que feriez-vous ?
cybermois.fr • Lecture de 1 min
Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :
Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu
Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.
Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues
e-Learning, la panacée ?
Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.
Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.
Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.
Questions pour un cyber-champion
Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.
Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.
Jeu de cartes, escape game : les vertus de l’apprentissage en équipe
L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.
Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).
Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.
Notes : *Intermedia, 2017, Data Vulnerability Report
Blog de Caroline Aubry 