Étant donné que le risque humain reste important, l’erreur humaine étant à l’origine de 82 % des violations de données selon le rapport 2022 Verizon Data Breach Investigations Report, il n’est pas étonnant que les RSSI des organisations européennes cherchent à mettre en place les activités les plus innovantes pendant cette période cruciale de l’année.

Une fois que les principaux risques ont été identifiés, il est temps de passer à l’action : diffuser les comportements de sécurité prioritaires dans toute l’organisation en utilisant le moyen ultime : la gamification.

Ne pas jouer, c’est échouer au Mois Européen de la Cybersécurité

Des matchs de football aux batailles de Monopoly, il y a un jeu pour tout le monde, et quel que soit celui que l’on préfère, il suscite toujours l’enthousiasme.

Il est donc logique que, lorsqu’ils ont l’occasion d’apprendre des comportements de sécurité, les employés préfèrent un jeu à une formation en ligne qu’ils devront – avouons-le – suivre péniblement.

La gamification est gagnante, et bien qu’il y ait de nombreuses raisons expliquant ce fait, nous avons sélectionné sept exemples frappants qui mettront en lumière les avantages que la gamification présente dans un environnement d’apprentissage.

La gamification augmente considérablement l’engagement

Pour se sentir impliqué dans une activité, et donc atteindre le Saint Graal de l’attention, l’interactivité est essentielle.

Les jeux exigent une action de la part du participant, ce qui transforme ce dernier en un rouage mobile de son propre processus d’apprentissage.

En outre, l’élément de compétition présent dans les jeux, que ce soit entre équipes ou contre un méchant fictif, est un puissant facteur de motivation qui favorise encore davantage l’engagement.

La pratique l’emporte sur la théorie dans un contexte d’apprentissage

La pratique représente 70 % du processus d’apprentissage. Pourquoi ? Parce que la pratique permet de rendre les enseignements tangibles et de les intégrer dans des situations réelles, que les employés peuvent directement lier à leurs pratiques quotidiennes.

Les feedbacks et récompenses stimulent les comportements positifs

Les jeux impliquent des prix et des récompenses à gagner.

Non seulement ils contribuent à stimuler la motivation, mais ils permettent également aux employés d’obtenir un retour d’information positif direct sur leurs actions et leurs décisions, qui s’accompagne d’un sentiment d’accomplissement et de progrès, ce qui renforce encore le comportement de sécurité visé.

Les jeux accroissent la visibilité de votre équipe de cybersécurité

Les jeux de sensibilisation à la cybersécurité ont le pouvoir de modifier la perception qu’a le personnel de votre équipe de cybersécurité. En effet, la cybersécurité peut sembler un domaine obscur et complexe pour de nombreux employés.

Proposer des jeux permet de rendre les concepts de sécurité plus tangibles, plus accessibles et plus applicables dans la vie de tous les jours.

De plus, s’ils sont organisés en présentiel, ils permettent à votre de cybersécurité de gagner en visibilité auprès des membres du personnel et de susciter un sentiment de reconnaissance et de confiance qui, à son tour, renforcera l’impact des futures actions de sensibilisation.

Apprendre ensemble renforce la cohésion d’équipe

Comme si apprendre plus efficacement ne suffisait pas, la gamification offre également le précieux avantage de stimuler l’esprit d’équipe.

De nombreux jeux de sensibilisation offrent la possibilité de travailler en collaboration pour atteindre le succès. Ainsi, les employés repartent avec de bons souvenirs et de la reconnaissance pour cet agréable moment, en plus de précieux conseils de sécurité.

Les jeux permettent de répéter les messages de sécurité de manière originale et amusante

Lorsqu’il s’agit d’ancrer des comportements de sécurité dans une organisation, la répétition est cruciale pour assurer leur intégration et mise en œuvre.

Cependant, la répétition des communications de sensibilisation par les mêmes canaux peut diminuer l’attention que les employés leur accordent.

Les jeux constituent une expérience innovante et agréable pour renforcer les messages de sécurité et les rendre plus percutants au fil du temps.

Bonus : vous recueillez des informations et des commentaires précieux de la part des utilisateurs finaux

En interagissant avec le personnel par le biais de jeux de sensibilisation, votre équipe de cybersécurité a l’occasion unique de recueillir des informations sur les questions de sécurité les plus urgentes que se posent les employés et de découvrir quels sont leurs plus grands défis en termes de sécurité dans leurs activités quotidiennes. Ce retour d’information permet ensuite d’établir des priorités pour les futurs messages de sensibilisation et de revoir ou de mettre en œuvre des processus destinés à faciliter la vie des employés. Par exemple, si le personnel exprime à plusieurs reprises voir des e-mails suspects mais ne pas savoir pas comment les signaler, cela peut conduire à une campagne de sensibilisation spéciale destinée à rappeler aux employés comment signaler les e-mails d’hameçonnage, et à la mise en place d’un bouton de signalement d’hameçonnage pour faciliter le processus de signalement.

Tirer parti de la gamification : Les incontournables pour organiser des jeux de sensibilisation réussis

Avant d’établir les facteurs de succès d’un jeu de sensibilisation, précisons ce qui fait qu’un jeu est fructueux.

Pour être réellement efficace, un jeu de sensibilisation doit permettre aux participants de quitter l’activité avec une idée claire des comportements de sécurité qu’ils modifieront dans leur propre vie professionnelle.

Pour atteindre cet objectif, nous avons identifié un ensemble de cinq critères clés :

Un jeu solide couvrira un sujet de sensibilisation prioritaire, basé sur les risques identifiés pour l’organisation et priorisés en conséquence.

Il faut ensuite trouver le juste niveau de complexité, en fonction du niveau de connaissance de votre personnel.

Le personnel qui a déjà un niveau élevé de maturité en termes de comportements de sécurité – au mieux – n’apprendra rien de nouveau au cours d’un jeu facile, et – au pire – s’ennuiera ou en voudra à l’équipe de sensibilisation à la sécurité d’avoir pris une partie de son temps de travail pour couvrir des éléments qu’il connaît déjà.

Le scénario inverse serait également problématique : confronter le personnel débutant à un jeu difficile ne ferait que le désorienter.

Il est donc essentiel de connaître le niveau de maturité de votre public cible en matière de sécurité pour adapter le jeu et obtenir des résultats optimaux.

Troisièmement, le jeu doit être centré sur une histoire captivante. Le scénario doit être intrigant et se dérouler de manière fluide. En outre, il doit être adapté au contexte de l’organisation afin que les participants puissent s’identifier aux événements qui se déroulent dans le jeu.

Pour capter et surtout retenir l’attention des employés, le jeu doit mettre l’accent sur l’interactivité. Les interactions peuvent avoir lieu entre le(s) maître(s) du jeu et les joueurs, mais aussi entre les joueurs eux-mêmes lorsqu’ils collaborent dans le cadre de l’activité.

Pour exploiter davantage ce concept, le jeu peut stimuler les cinq sens afin de le rendre encore plus attrayant et immersif.

Le dernier élément clé d’un jeu efficace réside dans la mise en place de bons vecteurs de motivation. Là encore, il existe de multiples façons d’y parvenir : vous pouvez par exemple établir un système de notation pour encourager une compétition ludique entre les équipes, et mettre en place des récompenses. Les récompenses peuvent prendre la forme de cadeaux, de prix tels que des expériences individuelles ou d’équipe, ou même de dons à l’organisation caritative choisie par les participants. Un vecteur de motivation puissant stimulera la participation volontaire à l’activité, et une décision de participer issue d’une volonté réelle du personnel sera également synonyme d’une motivation et d’une implication accrues dans le jeu, pour une meilleure rétention des comportements de sécurité partagés.

Quel jeu de sensibilisation est fait pour vous ?

Pour que vos rêves de gamification du Mois Européen de la Cybersécurité deviennent réalité, passons de la théorie à la pratique !

Répondez au quiz ci-dessous pour savoir quel jeu de sensibilisation à la cybersécurité est adapté à vos besoins et à vos objectifs pour un impact maximal.

Loading…

Cet article Comment activer la gamification pour un Mois Européen de la Cybersécurité percutant est apparu en premier sur RiskInsight.

Sensibiliser, mais à quel prix ?

Affiches, e-mails, jeux, etc., il existe une multitude de moyens de sensibilisation présentant chacun leurs avantages et leurs défauts.  Largement plébiscité par 78% des entreprises du panel étudié, l’e-mail est le vecteur de sensibilisation le plus utilisé. Facile à déployer, peu coûteux, il n’est néanmoins pas suffisant pour garantir l’efficacité d’une campagne de sensibilisation à la sécurité de l’information. Ainsi, plus de 60% des entreprises optent pour la mise en place complémentaire d’évènements sécurité et de contenu dynamique sur Intranet, la diffusion de plaquettes et de fiches pratiques. Seules 25% des entreprises utilisent des solutions plus élaborées telles que la diffusion de contenu multimédia, la mise en place d’e-learning ou encore le déploiement de jeux et de quizz.

Comment expliquer l’utilisation massive d’e-mails qui ne seront pas forcement efficaces alors que la diffusion d’un contenu multimédia assurerait un impact plus important auprès des collaborateurs à sensibiliser ? La réponse tient en un mot : budget. Là où une campagne de mailing représentera un coût pratiquement nul pour l’entreprise, le tournage d’un clip vidéo de sensibilisation ou la mise en place d’un e-learning peuvent s’élever à plusieurs dizaines de milliers d’euros, notamment en cas de recours à une agence de communication. Seules les entreprises ayant les budgets sensibilisation les plus importants peuvent donc orienter vers cette solution.

 Les mêmes moyens de sensibilisation pour tous ? Focus sur le Plan de Continuité d’Activité (PCA)

Seules 25% des entreprises utilisent l’e-mail comme moyen de sensibilisation au PCA alors qu’elles sont 78% à l’utiliser pour la sensibilisation à la sécurité de l’information. Cette différence tient dans le fait que la sensibilisation au PCA vise notamment à inculquer les réflexes à avoir en cas de sinistre informatique. Les supports dématérialisés ne seraient donc plus accessibles ! Les plaquettes sont dès lors beaucoup plus utilisées. Cela illustre la nécessité d’adapter les supports de sensibilisation, que ce soit en fonction de la cible visée ou des spécificités du sujet traité.

 La sensibilisation à la sécurité de l’information et nouvelles technologies : une course contre la montre

Web 2.0, réseaux sociaux, Bring Your Own Device, etc., ces nouvelles pratiques ne cessent de se développer au sein des entreprises, amenant avec elles de nouvelles menaces pour la sécurité de l’information. La maîtrise des risques liés à ces services évoluant en permanence nécessite un effort constant pour rester efficace et ne pas subir l’innovation. La démocratisation progressive de l’utilisation de ces services au sein de l’entreprise doit donc s’accompagner d’une sensibilisation à leur utilisation en toute sécurité.

Parmi les usages récents, l’utilisation des réseaux sociaux s’est généralisée depuis 2008. 65% des entreprises en autorisent maintenant l’usage, majoritairement en en limitant l’accès à certaines populations métier (55%). Mais ces outils ayant pénétré aussi nos vies personnelles, elles sont aujourd’hui plus de 90% à sensibiliser leurs collaborateurs aux risques inhérents à leur utilisation. En revanche, le BYOD et les services de cloud computing personnels (Dropbox, Google Drive…) qui sont plus récents et moins répandus font encore peu l’objet de l’attention des utilisateurs : 12% des entreprises sensibilisent leurs collaborateurs au risque de fuite d’information que représentent ces derniers, et seulement 8% les sensibilisent aux risques du Bring Your Own Device.

L’un des grands enjeux de la sécurité de l’information aujourd’hui est donc, à défaut de pouvoir traiter immédiatement toutes les menaces, de tenter de réduire le délai entre leur apparition et leur prise en compte effective !

[Article rédigé en collaboration avec Loïc Dechoux, consultant]

Cet article Sensibilisation à la sécurité de l’information : où en sont les entreprises ? est apparu en premier sur RiskInsight.

Le défi aujourd’hui est de réussir à ancrer la sécurité durablement dans les pratiques de chacun des utilisateurs.

L’inventivité, facteur de renouveau

Que ce soit lors de la mise en place, ou dans les piqûres de rappel, l’originalité, la créativité, peut être un réel facteur d’attractivité et de différentiation de la compagne de sensibilisation à la sécurité. Pour autant ce facteur doit être mis en regard de la culture de communication interne de l’entreprise, et ce pour trouver le meilleur compromis entre originalité et crédibilité de la démarche.

La campagne doit ensuite évoluer dans le temps, ainsi que la posture en elle-même, mais également les canaux de communication. Nombreux sont les concepts, les supports qui peuvent être intégrés à la sensibilisation. Les serious games, la gamification et les applications pour smartphones ou tablettes en sont des illustrations.

L’adaptabilité, une réponse aux nouveaux usages et les risques afférents

L’évolution des usages permet de donner un nouveau souffle au catalogue de communication et formation, mais elle doit aussi être considérée sous l’angle des risques. Le BYOD (Bring Your Own Device) ou encore le Cloud en sont des cas concrets. Les objectifs de communication, les messages à diffuser vont évoluer, et ce dans l’objectif de responsabiliser davantage le personnel qui en fera l’usage. Un axe intéressant est de dresser un parallèle avec la vie quotidienne des collaborateurs afin de les responsabiliser.

La mesure d’efficacité, source d’amélioration

Chercher à s’améliorer implique de mesurer l’efficacité dans l’atteinte des objectifs initiaux. In fine, les collaborateurs sont-ils tous acteurs de la protection de l’information chacun à leur niveau ? La clé réside dans le fait que la sensibilisation est un dispositif de sécurité, et par conséquent il est important :

• D’identifier les éléments du plan de contrôle qui sont en lien avec le facteur humain d’une part. Un exemple ? Les audits  intègrent-ils la notion de « bureau net », de protection physique du matériel, d’exigence de port de badges, etc. ?
• D’intégrer de nouveaux contrôles spécifiques d’autre part. Il peut s’agir de contrôles par échantillonnage qu’ils soient techniques (vérification des mots de passe par exemple) ou de l’ordre de la simple observation « terrain ».

En conclusion, comme toute démarche liée à sécurité, la sensibilisation et la formation doivent s’inscrire dans un cycle de revue tant sur le fond (messages à faire passer, collaborateurs à cibler…), que sur la forme (canaux, supports, et conception…). L’ensemble doit s’intégrer dans l’existant de l’entreprise en respectant les pratiques des ressources humaines en termes de formation et de communication interne !

Cet article La sensibilisation : un dispositif à inscrire dans la durée ! est apparu en premier sur RiskInsight.

Un nouvel enjeu pour la sensibilisation à la sécurité de l’information : la génération Y pousse la porte des entreprises

La sensibilisation n’est pas un chantier sur lequel on peut se reposer une fois la première campagne achevée ! Comme toute campagne de prévention, des « piqûres de rappel » doivent être faites régulièrement, en variant la manière de communiquer pour assurer l’assimilation des messages dans la durée sans provoquer de lassitude.

Par ailleurs, il est nécessaire de prendre en compte les nouveaux arrivants dans l’entreprise, qui n’ont pas reçu la sensibilisation initiale. Et il ne faut pas oublier que ces nouveaux arrivants sont majoritairement une population avec laquelle le niveau de risque pour la sécurité de l’information augmente : la fameuse génération Y.

Les « digital natives », suréquipés, connectés en permanence, rendent de plus en plus perméable la frontière entre l’entreprise et leur vie personnelle. Leurs usages exposent largement les informations qu’ils manipulent : données personnelles, mais aussi professionnelles ! Et selon le Connected World Technology report de Cisco, 70% des jeunes employés admettent ne pas respecter les politiques de sécurité bien qu’ils en aient connaissance.  Plus exigeants que les générations X et baby-boomers, ils sont moins réceptifs à des campagnes de communication traditionnelles que leur aînés sur des sujets avec lesquels ils se sentent familiers, et ont encore plus besoin d’être convaincus et motivés.

La gamification pour renforcer l’engagement et la motivation des collaborateurs

Face à ce nouvel enjeu, il est nécessaire de diversifier les méthodes et outils de sensibilisation pour assurer leur efficacité. La gamification, phénomène récent, apparaît comme un nouvel outil prometteur pour laquelle de plus en plus d’éditeurs  (Bunchball, Badgeville, Gamify…) proposent des solutions. Elle a pour principe l’application des mécanismes et de la dynamique du jeu à des activités non ludiques : points, niveaux, badges, challenges, statuts sont utilisés pour engager les gens, déclencher la motivation et changer les comportements (par exemple dans le domaine de la protection des données)

Initialement utilisée auprès des clients à des buts marketing (Flying Blue, Accor, Starbucks…)  ou communautaires (Foursquare, Farmville, Nike+…), elle peut se transposer aisément au monde de l’entreprise et être un outil puissant pour accompagner les campagnes de sensibilisation, conduire le changement ou encore améliorer les performances. Cette technique rencontre un vif succès auprès de la génération Y aux codes de laquelle elle répond par ses dimensions sociale, ludique et technologique.

Lancer le challenge sécurité !

Il n’y a plus qu’un pas à faire pour l’adapter à la sécurité de l’information en entreprise. En premier lieu, il s’agit de cibler les utilisateurs  et de définir les objectifs. Sur cette base, les compétences (savoir construire un mot de passe complexe…) et actions attendues (changer son mot de passe, suivre une formation, etc.) peuvent être formalisées avant de définir l’univers et les mécanismes de jeu qui seront appliqués. C’est là que résidera toute la dynamique de la démarche et l’adhésion des utilisateurs, il est donc nécessaire de travailler soigneusement cette partie, pour laquelle les solutions du marché offrent de nombreuses possibilités !

Cet article La gamification : une solution pour sensibiliser la génération Y ? est apparu en premier sur RiskInsight.