Le plus grand risque de fuite de données sensibles dans une entreprise provient sans doute de ses collaborateurs. Cela peut provenir d’une démarche hostile ou par d’une simple erreur d’inadvertance. Un récent rapport de Crowd Research Partners démontre que plus de 90% des entreprises se sentent vulnérables face à une menace interne. C’est pour pouvoir y faire face que les entreprises cherchent de plus en plus à trouver des solutions de mise en situation. C’est ici que la « gamification » peut intervenir.

Le terme « gamification » désigne décrire une manière d’impliquer ses collaborateurs et de les faire changer d’attitude de façon ludique dans un contexte professionnel. Il s’agit, en s’amusant, d’apprendre à faire face à des situations qui n’ont rien d’amusantes ; comme empêcher l’intrusion d’un hacker dans le réseau d’une entreprise.

Grâce à la gamification, les organisations trouvent de nouveaux moyens de former les employés sur l’importance de la cybersécurité en exploitant des éléments de jeu. Elles peuvent, par exemple, mettre en place des compétitions 1 contre 1, des programmes de récompenses, et bien plus. La gamification permet de rendre le processus de formation plus excitant et plus stimulant pour les employés, de développer les connaissances des employés en matière de pratiques de cybersécurité, notamment sur la bonne gestion des attaques.

Nous avons listé six moyens différents d’utiliser la gamification pour améliorer la posture de cybersécurité en entreprise :

1. La gamification pour encourager les bons comportements

Les employés présentent un risque important pour la sécurité des données sensibles de l’entreprise. La gamification permet de récompenser les employés qui respectent les règles, ce qui encourage les comportements positifs. Par exemple, dans cette approche, les utilisateurs peuvent recevoir des badges à imprimer après avoir envoyé leur premier, dixième et centième e-mail sans déclencher d’alerte de sécurité des données — ce qui permet d’encourager un comportement positif.

Une fois qu’un employé possède une impressionnante collection de badges numériques, l’entreprise peut l’inciter à maintenir ce bon comportement dans la durée, grâce à des récompenses tels que des chèques-cadeaux ou des avantages dans l’entreprise. Au contraire, si un employé continue à faire preuve d’un mauvais comportement dans un contexte de gamification, cela peut représenter un signal d’alerte pour l’entreprise ou montrer un besoin de formation complémentaire en cybersécurité.

2. Protection des données : informer les collaborateurs

La gamification permet à une organisation d’établir un nouveau mode de communication autour de la protection des données, qui encourage un dialogue ouvert entre les employés pour discuter des façons de gérer correctement les données sensibles, ce qui est crucial maintenant que le RGPD est entré en vigueur. Plutôt que de considérer le sujet comme ennuyeux ou étrange, les employés sont encouragés à parler de leurs accomplissements, de leurs défis ou des leçons apprises grâce au système de gamification.

3. Responsabiliser par des formations de cybersécurité

La plupart des organisations savent que la formation de cybersécurité la plus efficace est celle qui se répète régulièrement tout au long de l’année. Toutefois, une majorité des entreprises n’adhère pas à ce cycle de formation, par manque de temps et de ressources. La gamification permet aux employés de travailler sur leur manque de connaissance et crée un sens de responsabilité individuelle en matière d’hygiène des données, qui, en fin de compte, modifie les comportements sur le long terme.

4. Engager les collaborateurs

Le personnel doit être encouragé à imprimer et afficher les badges sur son espace de travail, et les managers incités à reconnaître les bons comportements par la publication d’un classement mensuel des meilleurs employés. Les utilisateurs sont instantanément impliqués dans le jeu — ou la formation — en cours grâce à des compétitions amicales et à la collecte de badges. Cela améliore la communication interne, crée de nouvelles relations, et améliore l’implication globale des employés dans l’entreprise.

5. Cybersécurité : trouver les futurs talents

Trop peu de personnes choisissent une carrière dans la cybersécurité et la plupart des sociétés se retrouvent avec des postes vacants. Des organisations comme Cyber Security Challenge essaient de s’attaquer à ce manque de talent en organisant des compétitions annuelles, lors desquelles les joueurs sont confrontés à des situations de menace simulée et doivent les contrer à l’aide de leurs compétences. Les gagnants se voient ensuite proposer des offres d’emplois lucratifs dans de grandes sociétés technologiques et des organismes publics qui sponsorisent les challenges.

 6. Mesurer la performance par l’audit

Évidemment, l’efficacité de la gamification tient à l’application des leçons apprises des scénarios réels auxquels sont confrontés les employés. C’est pourquoi il est essentiel que les entreprises mesurent l’efficacité de la gamification sur la réduction des véritables risques pour les données. Les organisations doivent mener régulièrement des audits et des évaluations de cybersécurité dans l’entreprise afin de déterminer quels employés continuent à poser un risque en dehors de l’environnement du jeu.

La gamification est particulièrement efficace en matière de renforcement de la conformité chez les employés. Elle réduit le temps de formation en encourageant vos employés à apprendre au fur et à mesure et à développer de bons comportements qui permettront à la cybersécurité de se positionner solidement dans votre entreprise.

 

__________
Mark Stevens est Vice-président senior des services internationaux chez Digital Guardian