Vidéo. Audio. Présentation Powerpoint. Escape game. Article. Format chat. Il y a tellement de modes de communication qu’il est difficile de savoir lequel est le plus approprié et le plus efficace pour former ses utilisateurs.

Et pourtant, cette distinction est fondamentale pour conduire un programme de sensibilisation cybersécurité réussi. Les gens ont une capacité d’attention limitée et, si l’objectif est de faire des équipes un élément actif de la stratégie de cyber défense, il faut maximiser l’attention et la mémorisation qu’ils ont du ce sujet.

Quel format fonctionne le mieux ? Nous nous sommes ainsi posés la question chez Mantra au moment de construire un outil de sensibilisation à la cybersécurité. 

Il nous a semblé que 3 principales questions pouvaient se poser :

  1. Quel format est le plus apprécié des utilisateurs? Difficile de faire abstraction des utilisateurs au moment de construire un cours, il est nécessaire que le format leur plaise…
  2. Quel format est le plus flexible et le plus facile à adapter? La cybersécurité étant un univers sans cesse en changement et chaque entreprise ayant ses besoins particuliers, il est important de travailler sur un outil très flexible
  3. Qu'est-ce qui fonctionne le mieux du point de vue de la mémorisation ? Le but est quand même avant tout que les utilisateurs retiennent les contenus cybersécurité qu’on leur propose…

Voici quel a été notre cheminement : 

1. Quel format est le plus apprécié des utilisateurs ?

Que pensent les utilisateurs? Quel format apprécient-ils le plus? 

Bien sûr, les vidéos peuvent être intéressantes pour susciter de l’engagement. Il suffit de regarder les phénomènes planétaires que sont les séries comme Game of Thrones ou Squid Games (et le phénomène de binge watching) pour se rendre compte de l’attrait de ce format. 

Entre 2017 et 2021, le temps de vue moyen sur Netflix pour les adultes américain a ainsi augmenté de 50%. 

Mais la rançon de la gloire est que devant un contenu moyen, et compte tenu de la prolifération d’offres, un utilisateur va avoir le réflexe de zapper. Un compromis sur la qualité entraîne une baisse drastique de l’engagement des utilisateurs : rien de pire pour un programme des sensibilisation à la cybersécurité qu’une vidéo moyenne qu’on lance en allant prendre un café ! 

Et soyons honnêtes : construire du contenu de qualité est compliqué et coûteux. Il suffit de regarder du côté d’Hollywood par exemple où la course au blockbuster (pour captiver les audiences) a entraîné un doublement du budget de production des films entre 2013 et 2019.

Si la video n’est pas nouvelle, en revanche d’autres outils ont explosé ces dernières années : Whatsapp, Facebook Messenger, Teams, Slack…

Les gens ont maintenant l’habitude d’échanger via des messageries instantanées. Tous les supports clients s’y sont d’ailleurs mis (service client Air France via Messenger, chatbot sur quasiment tous les sites…). 

Les gens veulent avoir des conversations. 

Et c’est également pertinent pour la formation : en effet, c’est un format rapide, efficace et stimulant. 

La video est une format tentant. Mais une nouvelle fois, la difficulté à produire de très bons contenus est un vrai frein. Il nous a donc semblé plus pertinent, à ce stade, d’opter pour les formats texte conversationnels - avec un petit peu de sens de la conversation et d’humour - afin d’engager facilement l’utilisateur.

2. Quel est le format le plus flexible et le plus facile à adapter ?

La cybersécurité est un secteur en constante évolution. Les vecteurs d’attaque utilisés par les hackers La cybersécurité est un secteur en constante évolution. Les vecteurs d’attaque utilisés par les hackers (imitation de services grand public, types de payloads, scénarios choisis) se diversifient, les normes de protection(authentification multi-factorielle) évoluent et les hackers se structurent même en groupes spécialisés : RaaS (Ransomware as a Service) ou IAP (Initial Access Provider - fournisseur d’accès initial).

Il est donc important de pouvoir reproduire cette actualité dans les cours de sensibilisation à la cybersécurité. 

De plus chaque entreprise à ses guidelines précises, son vocabulaire et acronymes, et ses procédures à suivre (pour la vérification des factures reçues par exemple, pertinent dans un schéma d’attaque par compromission d’adresse mail d’un fournisseur).

Les tutoriels de cybersécurité doivent donc, pour être pertinents et cohérents, reprendre ces éléments comme par exemple les règles de mot de passe, les contacts à l’IT ou encore le nom de l’entreprise et de son CEO. 

Il est donc capital de répondre à ces deux enjeux : d’une part, pouvoir sensibiliser rapidement sur les nouvelles évolutions, techniques et tactiques des hackers et d’autre part laisser la main à chaque entreprise pour sa personnalisation. 

Or, il est on ne peut pas éditer facilement une vidéo ou la personnaliser une fois qu’elle est tournée, montée et animée. Voire en créer une de toute pièce en quelques clics pour un sujet spécifique donné. 

Utiliser des formats texte conversationnels, à la manière d’un chatbot, est au contraire d’une très grande flexibilité. Cela permet de personnaliser facilement le contenu des cours préexistants, de l'éditer pour refléter les procédures spécifiques de l'entreprise, et même de créer soi-même ses propres cours et de les diffuser facilement.

Editez facilement les cours existants ou créez-en de nouveaux 

3. Qu'est-ce qui fonctionne le mieux du point de vue de la mémorisation ?

L’objectif est (cela va sans dire) que les équipes de l’entreprise retiennent les éléments du programme de sensibilisation à la cybersécurité.

Nous nous sommes donc demandés quel format était le plus facilement mémorisable, et si des études pouvaient supporter ce choix. 

Le format d’un chat conversationnel a deux avantages sur la vidéo avec cet objectif en tête. 

  • Tout d'abord, la disposition de l'utilisateur va être meilleure devant un contenu écrit. La prolifération des contenus vidéo, d'abord à la télévision puis sur les applications des réseaux sociaux (Instagram, Tik Tok) a conduit les utilisateurs à considérer ce format comme superficiel par défaut.

    Au contraire, le format texte est considéré avec une disposition différente : l'utilisateur est plus concentré, prêt à considérer le texte comme traitant d'un sujet sérieux et digne de son attention.
  • Deuxièmement, le format conversation permet permet d’être facilement interactif et de rendre l’apprentissage actif, donc plus efficace. Des interactions fréquentes via des questions à choix multiples fixent en mémoire les enseignements grâce à l’approche active de réflexion et d’implication qu’elles demandent. 

D’ailleurs la différence entre format texte et vidéo se traduit par des résultats concrets comme l’ont montré différentes études :

  • Des études du département de psychologie de l’University College de Londres ont montré que quand des adultes lisaient des actualités ou des récits de fiction, ils retenaient plus de contenu que si ils avaient écouté le contenu à l’identique, ou s’ils avaient vu une vidéo présentant le contenu
  • Une étude d’auteurs de l’Université du Northern Colorado et de l’Université James Madison, intitulée éloquemment “ils entendent mais n’écoutent pas”, montre que les résultats des tests des étudiants ayant lu un contenu était meilleur que ceux qui l’avaient eu en podcast
  • Une étude de l’Université de Waterloo au Canada a montré que l’écoute passive d’un texte (contrairement à sa lecture) était associée aux performance de concentration et de mémorisation les plus faibles

Conclusion

Bien que la vidéo puisse être tentante sur le papier, tant nous sommes habitués à voir du contenu de haute qualité, le risque de faire du contenu perçu comme “moyen” nous a semblé trop élevé. Il  nous a semblé plus judicieux d'appuyer un programme de sensibilisation à la cybersécurité sur un format conversationnel interactif, format que les utilisateurs apprécient.

Cela permet d’engager facilement les utilisateurs sur un mode de conversation ou un canal qu’ils ont l’habitude d’utiliser de manière fréquente. C’est de plus un format extrêmement flexible, ce qui permet de mettre à jour, d'adapter ou de créer des contenus de sensibilisation à la cybersécurité pour l'entreprise de manière très simple, contrairement à la vidéo.

Enfin les différentes études ont montré son efficacité d’un point de vue de la mémorisation, cette option nous a définitivement semblé la plus pertinente pour permettre à nos utilisateurs de mener facilement leur programme de sensibilisation à la cybersécurité.

D’ailleurs si vous voulez jeter un coup d’oeil, n’hésitez pas à découvrir nos différents modules de formation à la cybersécurité  en suivant ce lien