Pour autant, leur faire prendre conscience des risques et leur inculquer les bonnes pratiques de sécurité n’est pas un exercice facile : casse-tête pour le RSSI, sujet de désintérêt voire de crispation pour les utilisateurs qui ne perçoivent que l’aspect contraignant des mesures de sécurité, la sensibilisation à la sécurité de l’information doit en permanence se réinventer.

L’escape game va-t-il réussir à réconcilier les utilisateurs avec la cybersécurité ?

Une approche ludique pour sensibiliser les utilisateurs

Comme dans un escape game classique, les joueurs sont accueillis par un maître du jeu qui leur présente le contexte et les règles à respecter. Ils entrent ensuite dans la salle de jeu dans laquelle ils découvrent les objectifs à atteindre dans un temps limité.

Tout au long de la partie, le maître du jeu suit l’avancement à distance et intervient pour donner des indices si les joueurs sont en difficulté.

En fin de partie, le maître du jeu procède à un débriefing, au cours duquel il met en exergue les mauvaises pratiques de sécurité illustrées dans chaque phase du jeu et rappelle les bonnes pratiques.

Les objectifs à atteindre dans le jeu dépendent du scénario. Il peut par exemple s’agir :

• En se faisant passer pour un candidat à un entretien de recrutement, de fouiller le bureau du Directeur Recherche et Développement d’une société concurrente, afin de voler les plans et les spécifications techniques d’un nouveau produit ;
• Sous la pression d’un pirate menaçant de dévoiler des informations relatives à la vie privée des participants, de voler des documents confidentiels et de réaliser un virement bancaire au sein de leur propre entreprise ;
• En profitant d’une invitation au domicile de la Directrice Générale de l’entreprise, de collecter les preuves de son implication dans des détournements de fonds.

Quelles sont les thématiques de sensibilisation abordées ?

L’escape game permet d’aborder de nombreuses thématiques telles que celles illustrées ci-dessous :

Sur la thématique des mots de passe par exemple, le jeu va confronter les joueurs à des mauvaises pratiques dont ils devront tirer parti pour atteindre leurs objectifs :

• Utilisation d’un mot de passe trivial contenant des données personnelles (prénom, nom, année de naissance…) ;
• Enregistrement des mots de passe dans le navigateur ;
• Utilisation des mêmes mots de passe dans les sphères privée et professionnelle ;
• Ecriture d’un mot de passe sur un post-it.

Les participants vont ainsi exploiter eux-mêmes les vulnérabilités volontairement mises en œuvre dans le jeu et ainsi plus facilement prendre conscience des risques associés que lorsqu’ils reçoivent de l’information descendante.

Toujours grâce aux mises en situation, l’escape game va leur permettre de comprendre le rôle qu’ils ont à jouer pour ne pas se rendre involontairement complice d’une cyberattaque : être discrets sur les réseaux sociaux, être vigilants lorsqu’ils sont sollicités par une personne inconnue, développer des réflexes pour détecter les indices dans un e-mail de phishing ou encore broyer systématiquement les documents confidentiels…

Comment réussir la construction d’un escape game cybersécurité ?

Dans un premier temps, il convient de définir le scénario global : quels sont les objectifs à atteindre ? Quels rôles les joueurs incarnent-ils ? Dans quel lieu le jeu se déroule-t-il ?

Ensuite, il s’agit de concevoir les sous-objectifs et le séquencement qui permet d’atteindre les objectifs principaux. Par exemple, pour atteindre un objectif tel que « voler le dossier de conception confidentiel », les joueurs devront successivement : reconstituer un document déchiré trouvé dans la poubelle, dans lequel ils trouveront la réponse à la question secrète permettant de réinitialiser le mot de passe d’un utilisateur, qu’ils utiliseront ensuite pour se connecter sur un espace de travail dans lequel ils trouveront le document.

Contrairement à un escape game classique qui fait appel à des énigmes ou des cachettes souvent improbables, l’idée de l’escape game cybersécurité est au contraire de reproduire des situations réelles et crédibles dans lesquelles les participants se reconnaîtront.

Il est également important de bien doser le niveau de difficulté des énigmes en fonction des populations ciblées. Si l’escape game est déployé sur une large population de collaborateurs de l’entreprise, les énigmes devront être accessibles à des personnes sans expertise informatique. Au contraire, s’il s’adresse à des populations plus techniques, il faudra alors complexifier les énigmes : les joueurs pourront par exemple avoir à réaliser une injection SQL simple sur une application pour accéder à des données confidentielles. Le mode opératoire de l’injection peut être mis à disposition sur un site web présent dans les favoris du navigateur du poste de travail.

Enfin, une fois l’ensemble de ces éléments spécifiés et mis en œuvre, quelques sessions de test seront nécessaires pour affiner la durée du jeu et mettre au point les indices que le maître du jeu donnera aux participants en cas de blocage : il est en effet important que les participants réalisent l’ensemble des objectifs afin que toutes les thématiques de sensibilisation soient abordées.

Une action très efficace à inscrire dans une stratégie globale de sensibilisation

Les mises en situation procurées par l’escape game permettent une véritable prise de conscience et garantissent ainsi une très bonne appropriation des messages. Les participants font spontanément le lien entre les situations auxquelles ils sont confrontés pendant le jeu et des situations vécues, ce qui rend la phase de débriefing très riche : les échanges sont nombreux et l’expérience montre que les participants s’intéressent réellement au fond des sujets abordés.

L’escape game ne se substitue cependant pas aux autres moyens de sensibilisation : il doit s’inscrire dans une stratégie globale, qui alterne les actions à fort impact (mais coûteuses…) et les actions moins onéreuses (mais également moins efficaces…) qui permettent d’entretenir la dynamique de sensibilisation dans la durée et avec un budget maîtrisé.

Enfin, et même si ce n’est pas son objectif premier, l’escape game cybersécurité constitue un excellent outil de teambuilding !

Cet article L’escape game cybersécurité, le graal de la sensibilisation ? est apparu en premier sur RiskInsight.

Volet n°1 : l’apprentissage

Une nouveauté : les vertus de l’apprentissage… sans la précarité

Le volet apprentissage du projet de loi sur la formation  est l’une des principales innovations du texte : la possibilité de conclure des  contrats d’apprentissage en CDI. Jusqu’ici seuls les contrats de professionnalisation pouvaient prendre la forme d’un contrat à durée indéterminée. L’idée est d’offrir aux jeunes un cadre sécurisé afin de faciliter leurs « recherches de logement ou de prêts bancaires ». Côté employeur, il permettra également de renforcer « l’attractivité de l’entreprise tout en favorisant la fidélisation des apprentis ». Une stratégie qui vise à doper l’alternance, l’objectif du gouvernement étant de parvenir à la signature de 500 000 contrats d’ici à 2017 (273 000 actuellement, en baisse de 8% par rapport à 2012). Ce nouveau CDI débuterait par une période d’apprentissage de un à trois ans régie par les dispositions propres à l’apprentissage.

Le texte prévoit, par ailleurs, qu’un « accord collectif puisse définir les modalités de mise en œuvre et de prise en charge de ces formations ». En outre, pour lutter contre les ruptures anticipées, point noir de l’apprentissage, un dispositif national de suivi statistique sera mis en place. Dans la même logique, un travail interministériel sera engagé afin d’identifier les décrocheurs.  Afin d’accélérer la procédure de résiliation d’un contrat d’apprentissage, le conseil des prud’hommes devra, s’il est saisi pour trancher le litige, statuer en référé, c’est-à-dire dans des délais très brefs.

Une stabilité : le montant de la taxe

Autre nouveauté  sur le volet apprentissage : la répartition entre le quota et le barème est précisée. Cet article (9 bis du projet de loi) n’a pas été rediscuté en commission mixte paritaire (CMP) car il a été jugé conforme par le Sénat. Concrètement, le montant de la taxe d’apprentissage est relevé à 0,68% pour tenir compte de la suppression de la contribution au développement de l’apprentissage (CDA) dont la taxe était jusqu’ici de 0,18%. Soit un montant inchangé. La répartition de la taxe se répartit en trois catégories :

• 21% du montant global de la taxe d’apprentissage seront alloués aux Centres de Formation des Apprentis (CFA) – le « quota »
• 23% seront fléchés vers les formations technologiques et professionnelles hors apprentissage – le « barème » ou « hors quota »
• la part dédiée aux régions sera déterminée par la prochaine loi de finances pour 2015

La liste des formations habilitées à recevoir la taxe (partie barème) est détaillée dans le projet de loi. Y figurent notamment les établissements publics du second degré, les établissements privés d’enseignement du second degré sous contrat d’association avec l’Etat, les établissements publics d’enseignement supérieur, les établissements gérés par les chambres consulaires ou encore les écoles de la deuxième chance.

 Une collecte optimisée… et recentrée

Enfin, le texte prévoit une réduction drastique du nombre d’Octa (organismes collecteurs de la taxe d’apprentissage), en ne retenant qu’un OCTA unique par région. Au plan national, leur nombre passerait de 54 à 20, en dotant les seuls OPCA (organismes paritaires collecteurs agréés) d’un agrément OPCA. En revanche, les modalités de versement de la taxe restent inchangées. Les entreprises resteront libres de verser leur taxe d’apprentissage à un OCTA régional ou national.

D’ un équilibre théorie / pratique… vers un véritable choix de politique RH 

Au final, sur le volet apprentissage l’apport de la Loi Sapin fait se rencontrer deux préoccupations :

• Les statistiques montrent que les contrats d’apprentissage ne sont plus réservés désormais aux seuls métiers manuels ; de nombreux étudiants à l’université et dans les grandes écoles choisissent cette forme de contrat et y trouvent leurs comptes dans les modalités conjointes (théorie / pratique) mais moins dans la précarité que ce choix implique. La possibilité de pouvoir bénéficier immédiatement d’un CDI devrait être une meilleure assurance pour eux.
• Sur certains métiers, dans certains secteurs, la formation dispensée en interne – avec un tuteur engagé – représente une vraie gageure, un réel investissement que les entreprises veulent pouvoir faire sur la durée. La prise de position immédiate peut permettre de ne pas voir partir l’apprenti juste après sa formation, au bénéfice d’une autre entreprise !

Sur ce volet la loi est donc bien potentiellement une opportunité à saisir : celle d’un accord pour un CDI débutant par la période d’apprentissage pourrait bien être un levier de gestion des talents – voire même une option sur la responsabilité sociétale des entreprises – en tout cas un choix de politique RH.

Prochain zoom : le Compte personnel de formation (CPF)

Cet article Réforme de la formation professionnelle, de l’emploi et de la démocratie sociale, quelles nouveautés sur le plan RH ? Zoom sur l’apprentissage. est apparu en premier sur RiskInsight.