On entend souvent parler de gamification, mais qu’est ce réellement ? Et surtout, quel impact la gamification peut-elle avoir sur la formation des équipes en cybersécurité ?
Cet article présente, de manière succincte, l’histoire de la gamification ainsi que les ressorts psychologiques profondément ancrés chez les êtres humains sur lesquels elle s’appuie. Il présente également quelques exemples en matière d’utilisation pour la formation et des pistes pour son déploiement de le domaine de la cybersécurité, où elle est tout à fait pertinente.
Aussi longtemps qu’il y a eu des hommes, il y a eu des jeux : dans la Grèce ou l’Egypte antique, à la préhistoire, et même avant quand on regarde le comportement de certains primates.
Mais pourquoi l’homme adore-t-il jouer?
Les jeux s’appuient sur des ressorts psychologiques profonds : la motivation “intrinsèque”, qui s’appuie sur trois élément principaux :
Le jeu a l’avantage de mettre en scène un “but” donné (comme apprendre une langue étrangère), et ce de manière évidente, compréhensible et avec un engagement facile.
Le concept de gamification découle de ce constat.
L’idée est d’introduire des éléments de “jeux” pour rendre amusants et engageants des sujets qui, sinon, ne capteraient que peu ou pas l’intérêt de leurs cibles.
Aujourd’hui, la gamification est omniprésente sur les différents sites et applications que nous utilisons (par exemple, via un système d’objectifs et de badges sur l’application duolingo d’apprentissage de langues étrangères).
Mais comment en sommes nous arrivés là ? Pour quel impact ? Et quelles possibilités en cybersécurité ?
On peut dire que tout a commencé en 1980, avec la publication d’un article intitulé “Ce qui rend les choses amusantes à apprendre, une étude de jeux vidéos intrinsèquement motivants” par T. Malone, un professeur au MIT, qui a analysé comment des enfants pouvaient apprendre à partir de jeux vidéos.
La dynamique était lancée :
L’accélération va se faire dans les années 2010 :
Une étude a montré que près de 90% des employés appréciaient d’avoir des éléments de gamification dans leur travail, et que la gamification pouvait améliorer la rétention d’information par jusqu’à 90%. Mais pourquoi une telle efficacité ?
La récompense accordée en fonction de l’atteinte de certains objectifs, ou de la validation de certaines formations, entraîne la génération d’hormones comme la dopamine, la serotonine ou des endorphines. Ces hormones sont associées à des sentiments de bien-être, de satisfaction personnelle, de joie et boostent l’efficacité de la formation qui est alors associée à ces émotions positives.
Le fait de lier les formations à l’obtention de récompenses va augmenter l’implication des utilisateurs en changeant l’objectif qui passe de “suivre une formation pour maîtriser un sujet” à “réussir à obtenir une récompense”. On passe ainsi d’une simple formation à une réussite personnelle, ce qui augmente considérablement l’intérêt pour le sujet.
La combinaison d’action et des conséquences concrètes qui en découlent via la gamification (ce qui diffère des formations 100% passives, à bannir) suscite la motivation et l’implication
C’est sans doute une des composantes les plus sous-estimées de la gamification mais l’évaluation personnelle et en temps réel contribue à l’efficacité de cette approche en matière de training. En effet, il est très valorisant pour les utilisateurs d’avoir accès à leur performance individuelle : cela place l’individu au coeur de la démarche, lui permet de constater se performance et ses progrès, et confère un côté léger et amusant, qui moins source de stress.
Jusqu’à 90% de ce que nous apprenons est acquis en dehors des formations formelles. En incorporant des éléments sociaux comme des fils d’actualité et d’activité, des chats ou des notifications, la mobilisation de la composante “sociale” permet d’augmenter la rétention d’information et l’apprentissage.
La cybersécurité se prête bien à la gamification, et pourtant ce mode d’apprentissage n’y a pas été déployé. Pourquoi ?
Le sujet a longtemps été considéré comme trop technique, trop complexe et compliqué pour les utilisateurs, réservé aux initiés. A tort.
Et le secteur a souvent cherché une réponse technologique à des failles qui découlent des comportements utilisateurs. Cette approche “techno” a mis sur la touche les collaborateurs : moins ils avaient à faire, mieux cela serait pour la cybersécurité de l’entreprise.
Pourtant, la cybersécurité est un univers technique et immersif, dans lequel on peut se plonger progressivement. Il représente un “monde” dans lequel l’idée de jeu se prête bien et demande en plus un rôle actif de la part des utilisateurs.
Du coup, la gamification de la cybersécurité est tout à fait pertinente !
C’est par exemple ce qu’a fait Beaumont Health Systems : ils ont introduit des formations cybersécurité gamifiées en 2014.
Leur RSSI lui-même qualifiant leur approche de sensibilisation avant cela de “suicide par PowerPoint”,
Ce nouveau mode de formation a conduit à meilleure rétention de l’information et une approche plus proactive des équipes en matière de cyber défense.
La gamification appliquée à la cybersécurité permet en effet d’impacter tout de suite plusieurs aspects concrets de la cyberdéfense de l’entreprise :
Tout cela permet d’engager et de motiver les équipes, de leur conférer un rôle actif, et de rendre le sujet plus amusant à maîtriser.
Pourquoi un simple email de phishing peut-il menacer une entreprise entière ? Comment les hackers passent-ils d'un compte lambda à des privilèges importants, pour finalement déployer un ransomware ?
Quelques-uns de nos scénarios de simulation de phishing les plus performants, observés lors de campagnes de phishing.
Que sont SPF, DKIM et DMARC ? Comment contribuent-ils à la mise en place d'une protection contre les attaques de phishing et comment pouvez-vous les configurer pour le domaine de votre entreprise ?