Pourquoi la gamification peut contribuer à votre cybersécurité ?
Mantra Team
Gamification et cybersécurité
Gamification et cybersécurité
Gamification et cybersécurité
On entend souvent parler de gamification, mais qu’est ce réellement ? Et surtout, quel impact la gamification peut-elle avoir sur la formation des équipes en cybersécurité ?
Cet article présente, de manière succincte, l’histoire de la gamification ainsi que les ressorts psychologiques profondément ancrés chez les êtres humains sur lesquels elle s’appuie. Il présente également quelques exemples en matière d’utilisation pour la formation et des pistes pour son déploiement de le domaine de la cybersécurité, où elle est tout à fait pertinente.
Qu'est-ce que la gamification ?
Aussi longtemps qu’il y a eu des hommes, il y a eu des jeux : dans la Grèce ou l’Egypte antique, à la préhistoire, et même avant quand on regarde le comportement de certains primates.
Mais pourquoi l’homme adore-t-il jouer?
Les jeux s’appuient sur des ressorts psychologiques profonds : la motivation “intrinsèque”, qui s’appuie sur trois élément principaux :
- Autonomie : être acteur de ses choix
- Social : interagir avec d’autres personnes
- Réussite : accomplir des objectifs
Le jeu a l’avantage de mettre en scène un “but” donné (comme apprendre une langue étrangère), et ce de manière évidente, compréhensible et avec un engagement facile.
Le concept de gamification découle de ce constat.
L’idée est d’introduire des éléments de “jeux” pour rendre amusants et engageants des sujets qui, sinon, ne capteraient que peu ou pas l’intérêt de leurs cibles.
Aujourd’hui, la gamification est omniprésente sur les différents sites et applications que nous utilisons (par exemple, via un système d’objectifs et de badges sur l’application duolingo d’apprentissage de langues étrangères).
Mais comment en sommes nous arrivés là ? Pour quel impact ? Et quelles possibilités en cybersécurité ?
Petite histoire de la gamification
On peut dire que tout a commencé en 1980, avec la publication d’un article intitulé “Ce qui rend les choses amusantes à apprendre, une étude de jeux vidéos intrinsèquement motivants” par T. Malone, un professeur au MIT, qui a analysé comment des enfants pouvaient apprendre à partir de jeux vidéos.
La dynamique était lancée :
- 1984 : publication par C. Coonradt de “Jeu du travail : comment apprécier le travail autant que les jeux”, un des premiers ouvrages à projeter dans la sphère professionnelles la notion de jeu
- 2002 : le terme “gamification” est utilisé pour la première fois par Nick Pelling qui créait une interface gamifiée pour des distributeurs de billets, distributeurs automatiques et téléphones portables. La même année, America’s Army est lancé, un jeu d’enseignement et un outil de recrutement pour l’armée américaine
- 2007 : lancement de chore wars (si il y avait bien un domaine à gamifier...), pour augmenter l’implication des parents et enfants dans les tâches ménagères
- 2009 : Lancement de Foursquare (avec une composante de gamification, des badges à collecter) et de BigDoor, un programme de fidélité utilisant la gamification
L’accélération va se faire dans les années 2010 :
- 2011-2012 : Conférences sur la gamification, Badgeville lève 25 millions, Mozilla Open Badges est lancé pour créer un standard en matière de validation des acquis de formation
- 2016 : succès de Pokemon go attribué à la nature des mécanismes de jeu utilisé
- 2018 : la gamification est une composante intégrée dans la logique de création et de design de la grande majorité des app
Pourquoi est ce que cela marche pour la formation ?
Une étude a montré que près de 90% des employés appréciaient d’avoir des éléments de gamification dans leur travail, et que la gamification pouvait améliorer la rétention d’information par jusqu’à 90%. Mais pourquoi une telle efficacité ?
La gamification est validée par les neurosciences
La récompense accordée en fonction de l’atteinte de certains objectifs, ou de la validation de certaines formations, entraîne la génération d’hormones comme la dopamine, la serotonine ou des endorphines. Ces hormones sont associées à des sentiments de bien-être, de satisfaction personnelle, de joie et boostent l’efficacité de la formation qui est alors associée à ces émotions positives.
La gamification s’appuie sur une motivations profonde : atteindre des objectifs
Le fait de lier les formations à l’obtention de récompenses va augmenter l’implication des utilisateurs en changeant l’objectif qui passe de “suivre une formation pour maîtriser un sujet” à “réussir à obtenir une récompense”. On passe ainsi d’une simple formation à une réussite personnelle, ce qui augmente considérablement l’intérêt pour le sujet.
La gamification implique d’être actif
La combinaison d’action et des conséquences concrètes qui en découlent via la gamification (ce qui diffère des formations 100% passives, à bannir) suscite la motivation et l’implication
La gamification permet une évaluation en temps réel
C’est sans doute une des composantes les plus sous-estimées de la gamification mais l’évaluation personnelle et en temps réel contribue à l’efficacité de cette approche en matière de training. En effet, il est très valorisant pour les utilisateurs d’avoir accès à leur performance individuelle : cela place l’individu au coeur de la démarche, lui permet de constater se performance et ses progrès, et confère un côté léger et amusant, qui moins source de stress.
La gamification permet d’intégrer des éléments sociaux
Jusqu’à 90% de ce que nous apprenons est acquis en dehors des formations formelles. En incorporant des éléments sociaux comme des fils d’actualité et d’activité, des chats ou des notifications, la mobilisation de la composante “sociale” permet d’augmenter la rétention d’information et l’apprentissage.
Quelques exemples
- Une étude de l'université de Vanderbilt portant sur plus de 1 000 étudiants a révélé "des avantages importants en termes d' implication[des étudiants] dans les conditions du jeu et un intérêt marqué pour l'utilisation de tels jeux à l'avenir".
- Le déploiement de formations gamifiées chez Webhelp a diminué par deux le temps d’onboarding pour les nouveaux employés
- Game, un vendeur de jeux vidéos aux UK et en Espagne, a vu le panier moyen quasiment doubler après le déploiement d’une formation gamifiée pour ses équipes de vente
- Domino’s a gamifié son expérience client avec le lancement de Pizza Hero (30% de hausse de ventes au lancement) après avoir déployé des microlearnings gamifié qui ont réduit le temps d’onboarding des nouveaux employés
- Et bien sûr vous avez tous déjà utilisé des applications qui s’appuient sur la gamification avec un système de badges et de niveaux récompensant l’atteinte de certains objectifs, de barres de progression, de forums internes : sur Duolinguo (apprentissage de langues), Treehouse (coder), Robinhood (investir)...
Appliquer la gamification à la cybersécurité
La cybersécurité se prête bien à la gamification, et pourtant ce mode d’apprentissage n’y a pas été déployé. Pourquoi ?
Le sujet a longtemps été considéré comme trop technique, trop complexe et compliqué pour les utilisateurs, réservé aux initiés. A tort.
Et le secteur a souvent cherché une réponse technologique à des failles qui découlent des comportements utilisateurs. Cette approche “techno” a mis sur la touche les collaborateurs : moins ils avaient à faire, mieux cela serait pour la cybersécurité de l’entreprise.
Pourtant, la cybersécurité est un univers technique et immersif, dans lequel on peut se plonger progressivement. Il représente un “monde” dans lequel l’idée de jeu se prête bien et demande en plus un rôle actif de la part des utilisateurs.
Du coup, la gamification de la cybersécurité est tout à fait pertinente !
C’est par exemple ce qu’a fait Beaumont Health Systems : ils ont introduit des formations cybersécurité gamifiées en 2014.
Leur RSSI lui-même qualifiant leur approche de sensibilisation avant cela de “suicide par PowerPoint”,
Ce nouveau mode de formation a conduit à meilleure rétention de l’information et une approche plus proactive des équipes en matière de cyber défense.
La gamification appliquée à la cybersécurité permet en effet d’impacter tout de suite plusieurs aspects concrets de la cyberdéfense de l’entreprise :
- Signalement du phishing et des menaces
- Suivi des apprentissages et formations
- Observation des progrès individuels lors des simulations, des pen tests
Tout cela permet d’engager et de motiver les équipes, de leur conférer un rôle actif, et de rendre le sujet plus amusant à maîtriser.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Plus de lecture
Cycle de vie d'une cyberattaque
Cycle de vie d'une cyberattaque
Cycle de vie d'une cyberattaque
Du phishing au ransomware : un aperçu du cycle de vie d'une cyberattaque
Pourquoi un simple email de phishing peut-il menacer une entreprise entière ? Comment les hackers passent-ils d'un compte lambda à des privilèges importants, pour finalement déployer un ransomware ?
Mantra Team
Scénarios de phishing
Scénarios de phishing
Scénarios de phishing
7 scénarios de simulation de phishing à essayer
Quelques-uns de nos scénarios de simulation de phishing les plus performants, observés lors de campagnes de phishing.
Mantra Team
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF DKIM DMARC - Quoi, pourquoi et comment ?
SPF, DKIM et DMARC : pourquoi sont-ils importants et comment les configurer ?
Que sont SPF, DKIM et DMARC ? Comment contribuent-ils à la mise en place d'une protection contre les attaques de phishing et comment pouvez-vous les configurer pour le domaine de votre entreprise ?
Mantra Team