ORGANISING A CYBER CRISIS EXERCISE IN A LARGE COMPANY 

There are many reasons to organise a Cyber crisis exercise: evaluating the integration of Cyber security in the crisis management system, improving interactions between the different teams, and testing the capacity of the security division to make itself understood by top management. 

From a simple table-top process test to SOC/CERT training to a large-scale exercise involving dozens of crisis teams and months of preparation, the resources allocated to a crisis simulation vary greatly. This article focuses on the last category. 

WHAT’S A TYPICAL CRISIS EXERCISE? 

Looking at the figures, some of the largest crisis exercises in France have consisted of one day of activity, 150 people mobilised, 10-12 crisis teams in several countries, 30 facilitators, 20 observers and more than 300 stimuli. Being able to make a success of such an event requires both a high level of preparation and a very solid facilitation team on the D-day. 

One of the key issues found in these types of exercises is that there is only one take. It is therefore essential that ALL the actors take part in the game, and that the scenario involves all the participants. Preparation and facilitation are key in such exercises to make sure the time spent on the simulation is worthwhile.  

SIX MONTHS TO PREPARE 

1/ Selecting the attack scenario 

The first months of work are always devoted to the attack scenario. Ransomware, targeted fraud, attacking suppliers… the choice of weapons is large. In ambitious exercises, it is not rare to combine several attacks in one crisis: smoke screen launched by the attackers, identification of a second group during the investigation, etc. Whatever the scenario chosen, the key is to be as precise as possible: 

• What are the attackers’ motives? 
• What path of attack did they take? 
• When was the first intrusion? 

The exercise is long and preparation beforehand is needed, especially when 150 players investigate an attack for several hours. Spear-phishing, water holing, code compromise, privilege escalation: the vulnerabilities used by the fictitious attacker are not real, but they must be plausible and “validated” by technical accomplices throughout the preparation. Similarly, for business impacts, they should be reviewed with business specialists: the level of fraud at which the situation becomes critical, critical activities to be targeted as a priority, most sensitive customers, etc. The choice and involvement of accomplices are essential and they should be integrated into the coordination team on D-day.  

2/ Building the script of the exercise 

The script consists in defining minute by minute the information that will be communicated to the players. The calibration of the exercise rhythm is a complex point. The temptation to impose a strict rhythm is great to “master” the scenario but attention needs to be given to leave enough space for reflection.  

The start of the exercise is another complex point: should the scenario start directly in a crisis situation or on an alert that will test the general mobilization process? Most often than not, the second option is chosen. That way, the technical teams (CERT, SOC, IT…)  can be mobilised for the entire duration of the exercise. ExCom members should have their diary freed up during that day as well.  

3/ Preparation of the stimuli 

Technical reports, fake tweets, messages from worried customers, these are all useful stimuli for the players.  

Videos are often used to captivate. Indeed, nothing is more striking than a fake BBC report relaying the current attack (logo, board, etc. the more realistic the better). For more realism, videos of people “known” in the company (message from the CEO, interview of a factory boss, etc) can be used.  

The same goes for the technical side: the duration of the exercises often does not allow the players to carry out the technical investigations themselves, but they will ask a lot of the facilitators. Everything must be ready to avoid panic: Malware analysis reports, application log extracts, IP address lists, etc. 

As mentioned in the introduction, the most ambitious exercises may require the creation of 300 stimuli to get through the day and remain credible – is represents a lot of work.

D-DAY 

On D-Day, early morning, a meeting is organised with all the animation team and observers for the final adjustments. A few hours later, the observers will go to their crisis cells and start the players’ briefing. 

1/ Starting on a good basis 

For many players, this may be their first exercise. The briefing is therefore essential to avoid confusion between fictional and real-life events:  

• Players call the police in the middle of the exercise

• The players contact a mailing list of 400 people without specifying that it is an exercise

• Real customers be called to be reassured

• A production site is neutralized “by prevention”

To avoid such situations, it is essential to iron out the rules of the game during the briefing: the players must communicate with each other, but they must go through the facilitation unit to contact external stakeholders. Throughout the day, the facilitators and accomplices in each team find themselves in the shoes of a client, a technical expert, a CEO, or a regulator, according to the players’ requests.  

2/ Rely on an efficient facilitation team 

The sequence of events depends on the efficiency of the animation cell. A successful exercise includes a lot of improvisation on the day. Stimuli may have to be readjusted according to the reactions of the players, the score is never fixed and the facilitation cell will be put to the test on the day of the exercise. The largest crisis exercises have particularly professional crisis management teams, including the head of the facilitators, PMO, technical manager, business manager, call management centre, etc.  

We suggest not to take any risks on D-Day and to recreate teams that are used to working together and know each other. Doing so is the best way to gain time that will prevent the organisation team from going into crisis itself. 

Cet article Organise a cyber crisis exercise in a large company est apparu en premier sur RiskInsight.

A campaign launch is all well, but how do you keep it going over time?

The creation of TRUST was not an end in itself, but a stepping-stone for the future.

At the start of the project, we immediately envisaged the annual pace of our two awareness plans.

Two, because we had to keep in mind that we were raising awareness for two distinct populations: newcomers and existing employees.

For newcomers, the solution is simple: plan the launch of all existing TRUST resources over one year to space out messages.

For all other employees, it’s more complex. How to get the messages across again without giving a feeling of déjà vu, fatigue or even an overdose?

We have therefore organized our awareness plan with 3 major initiatives spaced out over time.

A new monthly meeting: The Trust minute

A one-minute film broadcasted on all our communication channels to present 5 different messages per month:

1. An example of an anonymous user or client incident
2. A Trustee, our security tool presented in the previous article
3. A security indicator (e.g. the percentage of new recruits who have completed e-learning, the number of those leaving the firm detected downloading documents before they leave). Sharing these indicators helps raising awareness and demonstrates that controls have been lifted.
4. A daily tip given by our friend Sofia
5. A popularized cyber news story

A new campaign of cybercoffee quizzes because it gets results

Of course, we must reinvent it, change the quizzes (but not necessarily the themes) and change the prize? All of this is easy and requires little preparation. Admittedly, this period of lockdown slightly challenged our initial plan. But it has been an opportunity to be creative and to release, in partnership with my colleagues in the Cybersecurity & Digital Trust practice, the new #TotalCyberAwakening video series about lockdown.

An annual global event in October during Cyber Security Month

In 2019, we organized a firm-wide competition on the theme of protecting personal digital information.

Every week, all employees received a question by email which they could answer directly via option buttons (sending a multiple-choice approval via Power Automate). Depending on their answer, they received a second email with the answer and the various tips associated to be used on a personal basis.

Answering a question and getting a correct answer would help contributing to a Euro prize fund. More than €2,100 was donated to the ISSA association, an association which Wavestone has partnered with to promote cybersecurity among schools and children.

This first game, based entirely on voluntary participation, enabled us to reach more than a third of Wavestone’s employees.

We are already preparing for next October’s initiative and this time we will go further with videos, games, meetings, quizzes under a global theme inspired by a famous TV series. What if this time, the new threat of Wavestone was the return of the White Walkers?

6 key elements to keep in mind

To sum up, the key elements for creating a successful awareness program are as follows:

1. Set achievable goals
2. Define a common thread (a theme, a brand) that will allow users to easily associate your messages with security
3. Define a short list of messages to be communicated and stick to it
4. Diversify the media and channels (posters, films, emails, e-learning, games) but always keep at least one event to meet the users
5. First use the tools already at your disposal (PowerPoint, emails, PowerAutomate) before acquiring new interesting solutions if needed, but not necessarily a priority to get started
6. Be creative and use humor to get your messages across (however, culture differences may have an impact in case of an international group)

Cet article The creation of Wavestone’s new internal awareness program (2/2) est apparu en premier sur RiskInsight.

Un lancement de campagne c’est bien, mais comment tenir dans la durée ?

La création de TRUST n’a pas été une finalité, mais un tremplin pour la suite.

Au démarrage du projet, nous avions tout de suite imaginé quel serait le rythme annuel de nos 2 plans de sensibilisation.

Nous devions avoir en tête de gérer la sensibilisation de 2 populations distinctes : les nouveaux et les anciens collaborateurs.

Pour les nouveaux, la solution est simple : planifier le lancement de tous les supports TRUST existants sur une année pour espacer les messages.

Pour tous les autres collaborateurs, c’est plus complexe. Comment faire à nouveau passer les messages sans donner un sentiment de déjà vu, de lassitude, voire d’overdose ?

Nous avons donc organisé notre plan de sensibilisation avec 3 grandes actions espacées temporellement.

Un nouveau rendez-vous mensuel : The Trust minute

Un film d’une minute diffusé sur tous nos canaux de communications pour présenter 5 messages différents par mois :

1. Un exemple anonymisé d’incident utilisateur ou avec un client
2. Un Trustee, nos outils de sécurité présentés dans l’article précédent
3. Un indicateur de sécurité (ex : le pourcentage de nouveaux ayant réalisé le e-learning, le nombre de démissionnaires détectés à télécharger des documents avant leur départ). Le fait de partager ces indicateurs permet de sensibiliser sur la problématique et de démontrer l’existence des contrôles.
4. Une astuce du quotidien donnée par notre amie Sofia
5. Une actualité cyber vulgarisée

Une nouvelle campagne de cybercoffee quizz car le résultat est au rendez-vous.

Evidemment, il faut se renouveler, changer les questionnaires (mais pas forcément les thèmes), changer le goodie, mais tout cela est facile et demande peu de préparation. Certes, je vous l’avoue, cette période de confinement a légèrement remis en cause notre plan initial. Cependant, cela a été l’occasion d’être imaginatif et de sortir, en partenariat avec mes collègues de la practice Cybersécurité & Digital Trust, la nouvelle série en vidéo TotalCyberAwakening sur le confinement.

Un évènement global annuel en octobre lors du mois de la cybersécurité.

En 2019, nous avions organisé un jeu concours à l’échelle du cabinet sur le thème de la protection de la vie numérique personnelle.

Chaque semaine, tous les collaborateurs recevaient une question par mail à laquelle ils pouvaient répondre directement via des boutons de choix (envoi d’une approbation à choix multiples via Power Automate). En fonction de leur réponse, ils recevaient un second email leur annonçant la réponse et différents conseils associés à utiliser à titre personnel.

La participation à une question et une bonne réponse alimentaient une cagnotte en euros. Plus de 2100€ ont ainsi été reversés à l’association ISSA à laquelle Wavestone s’est associée pour promouvoir la cybersécurité auprès des écoles et des enfants.

Ce premier jeu sur base de volontariat nous a permis d’atteindre plus d’un tiers des collaborateurs de Wavestone.

Nous sommes déjà en train de préparer celui d’octobre prochain et cette fois-ci nous irons plus loin, avec des vidéos, des jeux, des rencontres, des quizz sous un thème global inspiré d’une célèbre série TV. Et si cette fois-ci la nouvelle menace de Wavestone était le retour des marcheurs blancs ?

6 éléments clés à retenir

Pour résumer, les éléments clés de succès pour la création d’un programme de sensibilisation réussi sont les suivants :

1. Se fixer des objectifs chiffrables et atteignables
2. Définir un fil rouge (un thème, une marque) qui va permettre aux utilisateurs d’associer facilement vos messages à la sécurité
3. Définir une courte liste de messages à faire passer et s’y tenir
4. Diversifier les supports et les canaux (affiches, films, mails, e-learning, jeux) mais toujours conserver au moins un évènement permettant d’aller à la rencontre des utilisateurs
5. Utiliser dans un premier temps les outils déjà à votre disposition (PowerPoint, mails, PowerAutomate) avant d’acquérir si besoin de nouvelles solutions intéressantes mais pas forcément prioritaires pour démarrer
6. Faire preuve de créativité et utiliser l’humour pour faire passer vos messages (attention toutefois à prendre en compte les différences de culture dans le cadre d’un groupe international)

Cet article Récit de la création du nouveau programme de sensibilisation interne de Wavestone (2/2) est apparu en premier sur RiskInsight.

La prévention des risques cyber auprès des plus jeunes, mais aussi des parents, est un véritable enjeu de société. C’est pour apporter une nouvelle solution de sensibilisation et d’accompagnement que le Centre de la Cybersécurité pour les Jeunes (CCJ) et le cabinet de conseil Wavestone – avec la contribution de Cybermalveillance.gouv.fr – lancent le kit de jeu “1,2,3 CYBER!”, une initiative ludique et participative.

Une approche ludique pour sensibiliser les plus jeunes aux dangers du net

Face au constat de l’exposition croissante des plus jeunes aux multiples visages de la menace cyber, l’association « Centre de la Cybersécurité pour les Jeunes » (CCJ) s’est rapprochée du cabinet de conseil Wavestone au début de l’année 2019. L’objectif : relever le défi de la création d’un jeu destiné à sensibiliser les 11-14 ans aux dangers du net tout en s’amusant, mais également outiller les éducateurs et les parents pour un accompagnement adapté à cette tranche d’âge. De cette collaboration est né le jeu « 1, 2, 3 Cyber ! ».

1,2,3 CYBER – un jeu de sensibilisation des plus jeunes au risque cyber

Le jeu de société met en avant 35 thématiques clés telles que le cyberharcèlement, l’ami virtuel, la vie privée, le hameçonnage, les mots de passe, le signalement, le chantage, le challenge, la cellule d’écoute, sans oublier les fake news…. Une session, qui peut compter de 6 à 12 joueurs, dure environ 1h15 (l’introduction, le temps de jeu et le bilan).

Le jeu est inspiré du Time’s Up, souvent connu et apprécié par la population visée, et se déroule en trois manches. Le but étant, à chacune de ces manches, de faire deviner un maximum de mots inscrits sur les cartes mises à disposition.

• Lors de la première manche, les joueurs doivent user de leur voix pour faire deviner les mots inscrits sur la carte. Si le jeu est trop simple et que les joueurs sont particulièrement sachants en la matière, il est possible d’apporter une complication : trois mots sont inscrits sur la carte qu’il ne faut pas prononcer, et ce sous peine de pénalité.
• Lors de la deuxième manche, les joueurs doivent faire deviner les mots grâce au dessin. Pour cela, il vous est conseillé de vous munir d’ardoises / feutres véledas.
• Enfin lors de la troisième manche, les joueurs ne peuvent prononcer qu’un mot afin de faire deviner celui inscrit sur la carte.

Les mêmes cartes sont utilisées pour les trois parties, et le niveau de difficulté est croissant pour assurer la bonne appropriation des termes par tous les participants. En déroulant le jeu, il est possible que les participants rencontrent des difficultés pour faire deviner certains mots. C’est notamment le cas de hameçonnage, vie privée, etc. Pas de panique pour autant, la difficulté permet de s’imprégner davantage de leur signification et les jeunes trouvent toujours un moyen de s’en défaire (rébus, devinette, etc.).

L’animateur joue un rôle clé dans ce jeu : à la fin de chaque manche, celui-ci doit déboucher sur un moment d’échange sur plusieurs mots. Il devra ainsi faciliter les échanges avec et entre les joueurs, orienter les discussions pour en déduire les bonnes pratiques à adopter sur Internet. Pour ce faire, un livret est mis à sa disposition. Il contient les règles du jeu détaillées ainsi qu’un guide leur permettant de rebondir sur certains termes clés et les bonnes pratiques qui devront être partagées.

Un jeu testé en conditions réelles à diverses occasions

La période de mai à juillet a été l’occasion de tester le jeu en conditions réelles à plusieurs dizaines de reprises, auprès de plusieurs tranches d’âge, potentiels joueurs ou animateurs (11-14 ans, 15-18 ans, etc.). Un franc succès, tant auprès des joueurs que des animateurs rencontrés ! Jusque-là, nous sommes ravis de l’engouement des jeunes et des animateurs pour ce jeu. Les premières sessions de test nous ont conforté sur le format qui permet d’échanger librement sur les usages d’Internet et les bonnes pratiques associées.

Nous avons notamment pu constater que la sensibilisation effectuée dans les écoles ou par les diverses organisations portent leurs fruits : beaucoup de jeunes sont d’ores et déjà à l’aise avec certains termes inscrits sur les cartes, ce qui constitue une base solide au développement d’une meilleure hygiène numérique. L’objectif de ce jeu sera ainsi d’approfondir ces connaissances, de découvrir de nouvelles notions mais surtout de leur permettre d’en retirer des bonnes pratiques concrètes, à mettre en application sans plus attendre.

Un jeu gratuit et accessible à tous

Pour une diffusion et une utilisation les plus larges possible, le kit 1, 2, 3 Cyber est en téléchargement libre et gratuit depuis début août sur la plateforme Github. Ainsi, tous les parents, éducateurs et toute autre personne ayant des jeunes de cette tranche d’âge dans leur entourage peuvent sans difficultés dérouler le jeu.

Pour répondre aux besoins de tous et continuer à le faire évoluer, le jeu est diffusé en licence libre : « la mise à disposition du jeu en open source n’est que le début, le but est que chacun puisse participer à son amélioration dans le temps ! » affirme Etienne Capgras, manager cybersécurité chez Wavestone. Création de nouvelles cartes de jeu, ajout d’informations pratiques spécifiques à d’autres pays que la France, traduction dans d’autres langues… Toute volonté de contribuer sera la bienvenue ! Pour cela, il suffit de se rendre sur la plateforme Github ou de contacter le CCJ (contact@cyberccj.com) et Wavestone (123cyber@wavestone.com).

* Sondage réalisé par questionnaire auto-administré en ligne du 13 au 14 février 2019 auprès d‘un échantillon de 1 003 personnes, représentatif de la population âgée de 18 ans et plus résidant en France métropolitaine.

Cet article Prévention des risques cyber : sensibiliser les plus jeunes par le jeu ! est apparu en premier sur RiskInsight.

« Va parler à la maitresse si quelqu’un t’embête à l’école », « Je ne te louerai pas ce DVD, ce film est trop violent pour toi » ou encore le classique « Surtout, ne suis pas un inconnu, même s’il t’offre des bonbons ». On a tous encore en tête, même après des décennies, les conseils de nos parents concernant notre sécurité dans la vie de tous les jours. Mais avec une utilisation de plus en plus précoce d’Internet par les enfants, cette vie de tous les jours s’est maintenant étendue à la toile. Il est donc devenu impératif de sensibiliser les plus jeunes aux risques auxquels ils s’exposent en surfant sur le web pour qu’ils puissent en tirer tous les bénéfices !

L’éducation aux risques numérique, une nécessité

C’est la mission que se donne ISSA France sous le patronage du secrétariat d’état chargé du numérique avec son cahier de vacances « Les As du Web ». Et le besoin est là : selon un récent sondage IPSOS, plus d’un tiers des jeunes interrogés (entre 9 et 17 ans) ne protègent en rien les informations personnelles qu’ils mettent en ligne. Plus inquiétant, un cinquième de ces enfants pourrait envisager de donner rendez-vous à un étranger rencontré sur Internet, et 10% discutent d’ailleurs régulièrement avec de parfaits inconnus.

La sensibilisation de cette population à ces dangers est d’autant plus importante que l’autorité parentale ne suffit pas toujours : ils sont 65% à déclarer ne pas respecter au moins une règle de conduite édictée par leurs parents… Ces derniers ne sont d’ailleurs pas toujours très au courant eux-mêmes des dangers de la toile.

Sensibiliser les enfants, et par transitivité des parents, est donc un enjeu qui a déjà fait l’objet d’initiatives, avec notamment la création du Permis Internet par le Ministère de l’Intérieur. La publication de ce cahier de vacances « Les As du Web » est une étape supplémentaire dans l’intégration du numérique au sein de l’éducation des jeunes générations.

Comment parler simplement d’un sujet complexe

Pour autant, aborder une thématique technologique avec un public aussi particulier peut relever d’une véritable gageure, et ce d’autant plus qu’ISSA France a choisi de s’adresser aux 7 – 11 ans. Cibler cette tranche d’âge tombe sous le sens car c’est l’âge auquel ces internautes en herbe accèdent à Internet et sont les plus vulnérables.

Le premier challenge est donc d’arriver à isoler les sujets à aborder dans l’ouvrage. Ils doivent traiter les grands risques auxquels les enfants seront exposés de la manière la plus didactique et rassurante possible. Le choix d’un cahier de vacances, avec ses jeux et son graphisme ludique répond à cet objectif. Ensuite, il s’agit de trouver les bons mots. Le monde du numérique est truffé d’anglicismes et utilise un vocabulaire très particulier qu’il faut simplifier et expliquer si besoin au jeune lecteur afin de faciliter sa compréhension.

Les grands thèmes du petit cahier

Le cahier de vacances « Les As du Web » aborde donc dans un ouvrage ludique et pédagogique d’une vingtaine de pages les six thématiques suivantes :

• Qui se cache derrière ton écran ? Et pour quoi faire ? Pour bien expliquer que l’on peut facilement masquer son identité et prétendre être celui que l’on n’est pas.
• Tes données personnelles : apprends à les reconnaitre et protège-les ! Pour montrer la valeur de ses données et les enjeux à long terme.
• Le monde numérique n’est pas que pour les enfants. Ne t’y promène pas seul. Pour démontrer que le web n’est finalement pas si différent du monde « réel ».
• Le cyberharcèlement : c’est grave ! Cette partie donne les bons réflexes sur comment réagir lorsque l’on est visé ou témoin ?
• Internet ne dit pas toujours la vérité. Gare aux mensonges pour ne pas les répéter. Important en ces temps-de « fake news ».
• Sur Internet, reste cool et toi-même. Afin de démystifier et donner les bons réflexes de posture.

De la page web aux enfants, il reste du chemin à parcourir

Le projet est maintenant arrivé au bout de sa première phase : la création du contenu. Wavestone est d’ailleurs très heureux d’y avoir, avec d’autres, participé. Mais cette première étape ne constitue que 10% du chemin car tout l’enjeu maintenant est de faire que ce contenu atteigne sa cible !

Pour se donner les moyens d’y arriver, ISSA France souhaite imprimer un million de copies papier d’ici cet été. Car si pour le moment, le cahier n’est disponible qu’en ligne, l’association souhaite en effet placer de nombreux exemplaires physiques à des endroits stratégiques, comme les gares, les aéroports ou les aires d’autoroute lors des départs en vacances. Et c’est là que vous pouvez aider et participer au succès de cette initiative. A votre échelle en partageant autour de vous le cahier de vacances mais aussi à l’échelle de votre entreprise, puisqu’ISSA France est toujours à la recherche de partenaires pour participer à la diffusion de cet ouvrage et lui permettre d’atteindre sa cible.

Cet article Les As du Web : Participez à l’initiative de sensibilisation des 7-11 ans aux risques du web est apparu en premier sur RiskInsight.

Fondée sur un panel de 28 000 personnes interrogées dans 12 entreprises majeures, cette étude met en lumière des points cruciaux sur lesquels les entreprises doivent agir aujourd’hui afin d’éviter d’être, une fois de plus, victimes de cyberattaques. Cette analyse complète, unique en France, a été réalisée avec la solution ISAM de Conscio Technologies, qui permet d’auditer le niveau de sensibilisation des salariés en matière de sécurité informatique.

46% des collaborateurs ne connaissent pas les comportements à adopter face à l’ingénierie sociale

Premier enseignement, la fragilité des entreprises face à l’ingénierie sociale (faux emails de type phishing, escroqueries au président, appels téléphoniques frauduleux…) est clairement démontrée. 46% des collaborateurs ne connaissent pas les comportements à adopter face à ce type d’attaques. « L’ingénierie sociale est aujourd’hui le vecteur n°1 pour réaliser des fraudes ou s’introduire dans les réseaux d’entreprise. L’ensemble des collaborateurs doit connaître cette menace et surtout savoir comment se comporter, en particulier en alertant rapidement les responsables sécurité » détaille Gérôme Billois, senior manager cybersécurité chez Solucom. « La majorité des incidents ou pertes de données sont déclenchés par le facteur humain. Il est donc primordial de sensibiliser les salariés aux bonnes pratiques et d’envisager la sécurité dans son ensemble » confirme Michel Gérard, directeur de Conscio Technologies.

Les bonnes pratiques de sécurité des mots de passe maitrisées par 47% des collaborateurs

Deuxième enseignement, les mots de passe restent un sujet complexe pour les collaborateurs des entreprises. 88% d’entre eux sont sensibilisés sur la nécessité d’avoir un mot de passe de bonne qualité (longueur, absence de mots existants…) mais seulement 47% adoptent les bonnes pratiques dans leurs activités quotidiennes. « Ce chiffre montre que malgré de bonnes intentions, seule la mise en place de mécanismes techniques pour forcer la qualité des mots de passe fera évoluer la situation » analyse Gérôme Billois.

La réglementation, un sujet connu uniquement par 63% des collaborateurs

Enfin, il apparaît que les collaborateurs des grandes entreprises sont très peu sensibilisés aux réglementations sur la protection des données à caractère personnel. Ce thème obtient globalement le plus faible des scores, avec 63% des répondants connaissant les règles de base sur la protection des données des clients ou des collaborateurs. « Ceci fait courir un risque juridique direct aux entreprises, d’autant plus que la réglementation va très prochainement se durcir avec le nouveau règlement européen sur les données à caractère personnel » détaille Gérôme Billois.

La sensibilisation des collaborateurs est un facteur clé de la cyberprotection des entreprises. Aujourd’hui, de nombreuses structures réalisent des actions dans ce domaine mais peu en évaluent réellement l’effet. « C’est pourtant cette évaluation qui permet de mesurer l’efficacité et d’orienter les prochaines actions vers les populations les plus à risque » ajoute Michel Gérard.

Téléchargez le benchmark 2015 de la sensibilisation à la cybersécurité

Etude menée par Solucom et Conscio Technologies en 2015 sur un panel de 28 000 utilisateurs de la solution ISAM de 12 entreprises majeures en France. L’étude est disponible auprès de Solucom et Conscio Technologies et sera distribuée lors du FIC 2016 qui se tiendra à Lille les 25 et 26 janvier 2016.

Cet article Sensibilisation à la cybersécurité : où en sont les entreprises françaises ? est apparu en premier sur RiskInsight.

Un message à faire passer “Sur Internet, je reste en alerte”

Alors que les menaces se multiplient concernant aussi bien les entreprises que les citoyens, cette opération ludique et décalée a pour objectif de montrer qu’il est possible de lutter contre le piratage en adoptant les bons réflexes.

Conçue par l’agence W, cette campagne de sensibilisation se décline au travers du site internet www.hack-academy.fr. Le CIGREF a choisi de se servir des codes qui parlent à tout le monde, ceux de la télé-réalité pour faire passer des messages et élever le niveau de conscience.

Qui sera le hacker de demain ?

Les quatre vidéos publiées sur le site mettent en scène des jeunes candidats révélant leurs talents de pirate informatique devant un jury de professionnels de la “Hack Academy” dont l’objectif est de découvrir les hackers de demain.

Les candidats Jeny, Dimitri, Martin et Willy s’attaquent aux principales attaques auxquelles les internautes peuvent être confrontés. Ils abordent avec humour le phishing, le piratage de mot de passe ou encore le cheval de Troie.

En plus des vidéos, le site hack-academy.fr propose également de défier chacun des candidats au travers d’un quizz encore une fois basé sur l’humour et la pédagogie.

Le site permet également d’accéder à des fiches pratiques sur les différents types d’attaques et les façons de se protéger.

Pour Jean-Paul Mazoyer, Président du cercle Cybersécurité du CIGREF : « Grâce à l’efficacité des campagnes grand-public par exemple sur l’alcool au volant ou la ceinture de sécurité, nous nous sentons maintenant concernés par ces questions… Hack-academy  sera la première campagne touchant la cybersécurité ! L’histoire du premier geste qui protège les données sur Internet ne fait que commencer »

Découvrez Willy, le spécialiste du phishing, selon lui « Avec un simple mail et une photo on peut berner n’importe qui … »

Et pour voir toutes les vidéos, rendez-vous sur : www.hack-academy.fr

Cet article La Hack Academy, première campagne nationale de sensibilisation à la cybersécurité est apparu en premier sur RiskInsight.

Parmi les raisons qui ont pu conduire à cette situation, il est possible de recenser notamment le manque de budget ; la difficulté de mobiliser des intervenants aux métiers différents ; la difficulté de montrer des résultats car l’effort doit être porté dans la durée ; les a priori de certains dirigeants : «  la sensibilisation, ça ne sert à rien. »

C’est pourquoi, si l’on veut être capable de placer le traitement du volet humain de la sécurité et donc la sensibilisation à sa juste place, il est indispensable de disposer d’une mesure qui va nous permettre de savoir d’où on part, quel est le chemin parcouru et donc de placer les travaux de sensibilisation dans une démarche d’amélioration continue.

Enfin si l’on veut pouvoir intégrer le processus de sensibilisation dans l’élaboration d’un tableau de bord SSI, il est nécessaire de disposer des bons indicateurs.

Que mesure-t-on ?

Un modèle de maturité

A des fins de benchmark et pour pouvoir se donner des objectifs clairs et réalistes, il peut être utile de pouvoir se positionner et se fixer des objectifs à atteindre au travers d’un modèle de maturité.

C’est pourquoi nous proposons ici un modèle de maturité adapté à la problématique de sensibilisation. La classification ci-dessous illustre les différents niveaux que l’on peut rencontrer quant au développement d’une culture sécurité :

• Niveau 0 : les utilisateurs sont laissés à eux même, aucune consigne particulière ne leur est donnée, seuls les équipements d’infrastructure assurent la sécurité ;
• Niveau 1 : des outils sont mis en place sur l’initiative de l’équipe SSI (charte, affiches…) Aucun retour quant à l’efficacité de ces mesures n’existe, on communique quelques messages en espérant qu’ils seront entendus.
• Niveau 2 : la Direction s’assure que tout le personnel est formé. Elle a délégué à l’équipe SSI le soin d’assurer des actions d’information et de sensibilisation. Des tests sont menés afin de s’assurer que la connaissance des bonnes pratiques est bien diffusée ;
• Niveau 3 : correspond aux caractéristiques du niveau 2 auxquelles on rajoute une communication claire et directe par la direction d’une vision ; des actions sont menées afin de modifier les comportements et des indicateurs sont mis en place et suivis ;
• Niveau 4 : on retrouve les caractéristiques du niveau 3 et : la sécurité est intégrée à chaque processus et fait partie de la culture d’entreprise, chaque manager suit la qualité du travail fourni en regard de la sécurité, les incidents sont analysés et cette analyse donne lieu à une amélioration continue.

Dans notre modèle de maturité, il apparaît clairement que le fait d’apporter une mesure dans la mise en œuvre des campagnes de sensibilisation n’apparaît qu’au niveau 2. Ce n’est qu’à partir de ce niveau qu’on commence à se préoccuper des résultats de ce qui est fait.

Une mesure sur 3 axes

Le niveau de maturité d’une population concernant la sécurité numérique se mesure sur trois axes :

• L’axe sensibilité correspond à la perception que les collaborateurs ont de la sécurité comme étant un sujet important dans l’organisation.
• L’axe connaissances correspond au niveau de connaissance des utilisateurs sur les enjeux, les bonnes pratiques.
• L’axe comportements correspond au niveau de respect, par les utilisateurs, des comportements souhaités.

Plusieurs méthodes existent pour visualiser les mesures obtenues. Une manière classique consiste à représenter sur une figure multi axes les résultats obtenus en pourcentage d’un résultat maximal possible. C’est ce que l’on retrouve dans le schéma suivant.

Figure 1. C’est en développant la sensibilité et les connaissances au travers d’une communication engageante que l’on finit par obtenir les comportements souhaités

La valeur obtenue pour chacun des axes est directement liée à la campagne de mesures qui est faite sur les indicateurs propres à chaque axe. Les graphiques suivants donnent des exemples de ce qui peut être fait en la matière.

Ainsi la mesure des connaissances peuvent se faire selon les thématiques choisies pour les campagnes et regroupant l’ensemble des sujets à traiter.

La mesure de la sensibilité peut se faire sur quelques indicateurs permettant d’objectiver un sujet à priori difficile à évaluer. Ainsi cette mesure peut s’effectuer en évaluant au travers d’un processus d’audit tout ce qui participe à faire du sujet quelque chose d’important et la perception que les collaborateurs en ont.

On définit ensuite, pour chacune des réponses proposées, le nombre par lequel sera incrémenté l’attribut si cette réponse est choisie. Chaque répondant obtient ainsi une note sur cet attribut. On calcule ensuite la moyenne des résultats obtenus que l’on met en regard de la note maximale qu’il est possible d’obtenir.

La mesure des comportements portera sur certaines catégories de comportements a priori plus facilement observables.

Comment mesure-t-on ?

Réalisation d’une enquête physique

Relativement peu usité, la réalisation d’une enquête physique peut avoir l’avantage de permettre de prendre le pouls d’une population au regard de la sécurité de l’information. En effet, au-delà des aspects quantitatifs, le retour effectué par des enquêteurs peuvent, dans ce cas, incorporer des éléments d’ « ambiance » difficile à évaluer par d’autres procédés. En revanche le procédé prend du temps et est couteux.

L’enquête est alors réalisée sur un échantillon représentatif de la population ciblée. L’échantillonnage sera effectué selon la méthode des quotas, c’est-à-dire respectant en proportion les différentes caractéristiques de la population de l’organisation.

Cet état des lieux s’exprime ensuite au travers d’un rapport constitué d’éléments qualitatifs et quantitatifs.

La situation de l’organisation au regard du développement d’une culture sécurité sera rapprochée du modèle de maturité. On tentera également de dégager des axes de progression et de définir des objectifs à atteindre en vue de faire progresser la culture sécurité dans l’organisation.

Mesure en ligne

La réalisation d’une enquête en ligne est un excellent moyen pour réaliser une évaluation de la maturité d’une population au regard des questions de sécurité. Ce procédé permet de cibler la totalité de la population et de rester à un coût de mise en œuvre raisonnable.

Afin de permettre, comme nous l’avons vu, une mesure sur les trois axes de sensibilité, de connaissances et de comportements, une telle enquête doit :

• Être composée d’une série de QCM, traitant des différentes thématiques à couvrir (aspects légaux, organisation, mot de passe, ingénierie sociale…) ;
• Permettre la mesure de la connaissance par un rattachement des questions aux différents sujets à couvrir ;
• Associer les attributs sensibilité, connaissances et comportements aux questions afin de donner une valeur à ces attributs en fonction des réponses choisies par le répondant.

La diffusion de l’enquête pourra également s’appuyer sur un outil permettant d’identifier les niveaux de réponses en fonction d’un profilage particulier de la population cible. Cela permet notamment de mesurer l’impact d’une campagne de sensibilisation en fonction des métiers de l’entreprise.

Des questions sont donc posées en ligne dans le cadre d’une enquête menée sur une période de quelques semaines.

Évaluation des comportements par observation

La finalité des campagnes de sensibilisation étant d’avoir un impact réel sur les comportements, il peut être particulièrement intéressant de mesurer l’évolution dans le temps de certains comportements réels. Il s’agit ici de mesurer ce que font les collaborateurs réellement et non ce qu’ils déclarent ou ce qui transparait dans leur réponse à une enquête. Cela passe par l’observation de ces comportements et la mise en œuvre de tests. On peut ainsi citer, à titre d’exemple :

• Test sur l’utilisation de la messagerie et sur le respect de la politique antivirale par envoi de messages de source inconnue avec une pièce jointe exécutable mais inoffensive et mesure du taux d’ouverture de ces pièces jointes ;
• Test de phishing : envoi d’un message de type phishing mais au contenu inoffensif et permettant de mesurer le taux de clics ;
• Test sur le respect de la politique de création de mot de passe par un test de résistance sur la base de mots de passe ;
• Test sur le respect de la politique de l’utilisation d’Internet par examen des traces et le recensement des urls visitées;
• Etc…

A chacun de ces tests est associé un indicateur qui peut être à chaque fois le taux de bons comportements sur le nombre de comportements observés. Ces indicateurs viennent ensuite enrichir la mesure faite sur l’axe comportements

Rattachement au tableau de bord sécurité

Le traitement du volet humain de la sécurité est un aspect essentiel de toute stratégie sécurité. Ainsi, s’il est élaboré un tableau de bord de la sécurité, il convient d’intégrer la mesure de maturité des collaborateurs de l’entreprise dans son élaboration.

Si ce tableau de bord suit une approche de type tableau de bord équilibré (Balanced Score Card) on doit identifier les Indicateurs Clés d’Objectif (ICO) et les Indicateurs Clés de Performance (ICP) applicables au processus de sensibilisation.

L’objectif de tout processus d’acculturation est, rappelons-le, d’obtenir des comportements conformes aux bonnes pratiques et, par-là, de diminuer le nombre d’incidents trouvant leur origine dans une cause humaine. Il est donc possible de choisir comme ICO :

• Le nombre d’incidents ayant pour origine un défaut de comportement d’un collaborateur, dans la mesure où le processus de gestion des incidents le permet ;
• Le nombre de constatations de défauts de comportements dans le cadre d’un audit ou d’une enquête récurrents portant sur un référentiel constant.

Et comme ICP :

• Les indicateurs choisis pour mesurer la sensibilité ;
• Et, les indicateurs choisis pour mesurer la connaissance.

En conclusion

Il faut inscrire la mesure dans une dynamique

A la question : « Comment intéresser ma Direction Générale aux opérations de sensibilisation ? »

La réponse est : « Donner lui un retour quantifié ! »

La mise en place d’une mesure dans le temps du niveau de maturité du Personnel au regard des questions de sécurité ne peut qu’intéresser une Direction Générale et la motiver à accorder des moyens à des actions dont elle mesure l’impact.

Le processus d’acculturation d’une population est un chantier de longue haleine, seule la mise en place d’une mesure permet de démontrer le chemin parcouru et de se donner des objectifs.

Extrait du livre blanc « Comment mesurer les impacts des campagne de sensibilisation » rédigé par Hapsis en février 2015.

Cet article Comment mesurer l’impact des campagnes de sensibilisation ? est apparu en premier sur RiskInsight.

 De trop nombreux cas de détournement des réseaux sociaux

Mais ces réseaux n’ont pas été conçus initialement comme des outils de communication officielle, maîtrisée et contrôlée. Il est très simple de publier et ­de commenter. L’information est également très rapidement relayée. C’est ce qui fait leur force – mais aussi leur faiblesse quand  leur usage est détourné…

C’est ce qui est arrivé récemment au compte Twitter de l’Associated Press. Agence de presse réputée aux Etats-Unis, l’AP a subi une attaque qui a entraîné la publication sur son fil d’un message annonçant un attentat à la Maison Blanche ! Cette fausse information a été rapidement démentie mais les effets en ont été réels et sérieux : Wall Street a décroché pendant plusieurs heures !

Ce cas n’est qu’un exemple parmi d’autres, nombreux. Nous pouvons citer récemment Burger King  ou encore Jeep  dont les comptes ont été détournés – certes  de manière humoristique – pour faire de la publicité à leur concurrent !

Une sécurité désuète basée sur de simples mots de passe

Mais pourquoi assiste-t-on à cette multiplication de cas ? En partie car il est très simple de prendre le contrôle d’un compte sur un réseau social. Bien souvent celui-ci n’est protégé que par un mot de passe, à la complexité toute relative et qui, surtout, est souvent largement partagé au sein des sociétés  !

En effet, les comptes Twitter et Facebook sont associés à un seul email et à un seul mot de passe. Ces informations doivent donc être partagées si plusieurs personnes sont amenées à faire vivre le compte d’une entreprise. Sans parler des départs ou des mobilités qui laissent des situations souvent désastreuses, il est facile aujourd’hui de piéger le poste de travail d’un employé d’un service communication pour s’emparer de ces identifiants !

 Quelles bonnes pratiques suivre ?

Afin de réduire ces risques, il est possible pour l’entreprise d’utiliser des plates-formes professionnelles d’interaction avec les réseaux sociaux. Ces outils, par exemple SproutSocial ou Hootsuit, permette de masquer le compte Twitter principal et de créer des comptes pour chacune des personnes pouvant intervenir sur les réseaux sociaux. Ces outils ajoutent également une notion de traçabilité et de suivi des actions qui peuvent être intéressantes. Assortis d’une charte de « community manager », ils réduisent les risques d’usages malencontreux ou malicieux.  Mais cela ne réduit pas le risque lié au vol des identifiants.

Pour répondre à cette menace, les fournisseurs de réseaux sociaux réfléchissent actuellement à augmenter le niveau de sécurité de leur service, en particulier en requérant une authentification à deux facteurs à la place du mot de passe. Il s’agira alors pour utiliser le service d’utiliser un mot de passe unique, par exemple délivré par SMS ou via une application dédiée, en complément du mot de passe habituel. Google et Dropbox ont déjà mis en  place ce système avec succès. Les entreprises devront donc faire évoluer leurs pratiques pour inclure ces nouveaux mécanismes.

Cet article Protéger son image sur les réseaux sociaux ou l’hérésie du mot de passe partagé… est apparu en premier sur RiskInsight.

[Par Marion Couturier en collaboration avec  Loïc Dechoux]

Cet article Sensibilisation : quelles pratiques chez les grands comptes ? est apparu en premier sur RiskInsight.

Sensibiliser, mais à quel prix ?

Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts.  Largement plébiscité par 78% des entreprises du panel étudié, l’e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité de l’information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d’évènements sécurité et de contenu dynamique sur Intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d’e-learning ou encore le déploiement de jeux et de quizz.

Comment expliquer l’utilisation massive d’e-mails qui ne seront pas forcement efficaces alors que la diffusion d’un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser ? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l’entreprise, le tournage d’un clip vidéo de sensibilisation ou la mise en place d’un e-learning peuvent s’élever à plusieurs dizaines de milliers d’euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc orienter vers cette solution.

 Les mêmes moyens de sensibilisation pour tous ? Focus sur le Plan de Continuité d’Activité (PCA)

Seules 25% des entreprises utilisent l’e-mail comme moyen de sensibilisation au PCA alors qu’elles sont 78% à l’utiliser pour la sensibilisation à la sécurité de l’information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles ! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d’adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité.

 La sensibilisation à la sécurité de l’information et nouvelles technologies : une course contre la montre

Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l’information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l’innovation. La démocratisation progressive de l’utilisation de ces services au sein de l’entreprise doit donc s’accompagner d’une sensibilisation à leur utilisation en toute sécurité.

Parmi les usages récents, l’utilisation des réseaux sociaux s’est généralisée depuis 2008. 65% des entreprises en autorisent maintenant l’usage, majoritairement en en limitant l’accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd’hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive…) qui sont plus récents et moins répandus font encore peu l’objet de l’attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d’information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device.

L’un des grands enjeux de la sécurité de l’information aujourd’hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective !

[Article rédigé en collaboration avec Loïc Dechoux, consultant]

Cet article Sensibilisation à la sécurité de l’information : où en sont les entreprises ? est apparu en premier sur RiskInsight.

Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.

L’inventivité, facteur de renouveau

Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.

La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.

L’adaptabilité, une réponse aux nouveaux usages et les risques afférents

L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.

La mesure d’efficacité, source d’amélioration

Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :

• D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits  intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
• D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».

En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !

Cet article La sensibilisation : un dispositif à inscrire dans la durée ! est apparu en premier sur RiskInsight.

Un nouvel enjeu pour la sensibilisation à la sécurité de l’information : la génération Y pousse la porte des entreprises

La sensibilisation n’est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée ! Comme toute campagne de prévention, des « piqûres de rappel » doivent être faites régulièrement, en variant la manière de communiquer pour assurer l’assimilation des messages dans la durée sans provoquer de lassitude.

Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l’entreprise, qui n’ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l’information augmente : la fameuse génération Y.

Les « digital natives », suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l’entreprise et leur vie personnelle. Leurs usages exposent largement les informations qu’ils manipulent : données personnelles, mais aussi professionnelles ! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu’ils en aient connaissance.  Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers, et ont encore plus besoin d’être convaincus et motivés.

La gamification pour renforcer l’engagement et la motivation des collaborateurs

Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d’éditeurs  (Bunchball, Badgeville, Gamify…) proposent des solutions. Elle a pour principe l’application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données)

Initialement utilisée auprès des clients à des buts marketing (Flying Blue, Accor, Starbucks…)  ou communautaires (Foursquare, Farmville, Nike+…), elle peut se transposer aisément au monde de l’entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique.

Lancer le challenge sécurité !

Il n’y a plus qu’un pas à faire pour l’adapter à la sécurité de l’information en entreprise. En premier lieu, il s’agit de cibler les utilisateurs  et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe…) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l’univers et les mécanismes de jeu qui seront appliqués. C’est là que résidera toute la dynamique de la démarche et l’adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités !

Cet article La gamification : une solution pour sensibiliser la génération Y ? est apparu en premier sur RiskInsight.