Phishing, fuite d’informations, vols d’ordinateurs portables ou de smartphones, arnaque au Président… les utilisateurs sont des acteurs clés de la sécurité des systèmes d’information.
Pour autant, leur faire prendre conscience des risques et leur inculquer les bonnes pratiques de sécurité n’est pas un exercice facile : casse-tête pour le RSSI, sujet de désintérêt voire de crispation pour les utilisateurs qui ne perçoivent que l’aspect contraignant des mesures de sécurité, la sensibilisation à la sécurité de l’information doit en permanence se réinventer.
L’escape game va-t-il réussir à réconcilier les utilisateurs avec la cybersécurité ?
Une approche ludique pour sensibiliser les utilisateurs
Comme dans un escape game classique, les joueurs sont accueillis par un maître du jeu qui leur présente le contexte et les règles à respecter. Ils entrent ensuite dans la salle de jeu dans laquelle ils découvrent les objectifs à atteindre dans un temps limité.
Tout au long de la partie, le maître du jeu suit l’avancement à distance et intervient pour donner des indices si les joueurs sont en difficulté.
En fin de partie, le maître du jeu procède à un débriefing, au cours duquel il met en exergue les mauvaises pratiques de sécurité illustrées dans chaque phase du jeu et rappelle les bonnes pratiques.
Les objectifs à atteindre dans le jeu dépendent du scénario. Il peut par exemple s’agir :
- En se faisant passer pour un candidat à un entretien de recrutement, de fouiller le bureau du Directeur Recherche et Développement d’une société concurrente, afin de voler les plans et les spécifications techniques d’un nouveau produit ;
- Sous la pression d’un pirate menaçant de dévoiler des informations relatives à la vie privée des participants, de voler des documents confidentiels et de réaliser un virement bancaire au sein de leur propre entreprise ;
- En profitant d’une invitation au domicile de la Directrice Générale de l’entreprise, de collecter les preuves de son implication dans des détournements de fonds.
Quelles sont les thématiques de sensibilisation abordées ?
L’escape game permet d’aborder de nombreuses thématiques telles que celles illustrées ci-dessous :
Sur la thématique des mots de passe par exemple, le jeu va confronter les joueurs à des mauvaises pratiques dont ils devront tirer parti pour atteindre leurs objectifs :
- Utilisation d’un mot de passe trivial contenant des données personnelles (prénom, nom, année de naissance…) ;
- Enregistrement des mots de passe dans le navigateur ;
- Utilisation des mêmes mots de passe dans les sphères privée et professionnelle ;
- Ecriture d’un mot de passe sur un post-it.
Les participants vont ainsi exploiter eux-mêmes les vulnérabilités volontairement mises en œuvre dans le jeu et ainsi plus facilement prendre conscience des risques associés que lorsqu’ils reçoivent de l’information descendante.
Toujours grâce aux mises en situation, l’escape game va leur permettre de comprendre le rôle qu’ils ont à jouer pour ne pas se rendre involontairement complice d’une cyberattaque : être discrets sur les réseaux sociaux, être vigilants lorsqu’ils sont sollicités par une personne inconnue, développer des réflexes pour détecter les indices dans un e-mail de phishing ou encore broyer systématiquement les documents confidentiels…
Comment réussir la construction d’un escape game cybersécurité ?
Dans un premier temps, il convient de définir le scénario global : quels sont les objectifs à atteindre ? Quels rôles les joueurs incarnent-ils ? Dans quel lieu le jeu se déroule-t-il ?
Ensuite, il s’agit de concevoir les sous-objectifs et le séquencement qui permet d’atteindre les objectifs principaux. Par exemple, pour atteindre un objectif tel que « voler le dossier de conception confidentiel », les joueurs devront successivement : reconstituer un document déchiré trouvé dans la poubelle, dans lequel ils trouveront la réponse à la question secrète permettant de réinitialiser le mot de passe d’un utilisateur, qu’ils utiliseront ensuite pour se connecter sur un espace de travail dans lequel ils trouveront le document.
Contrairement à un escape game classique qui fait appel à des énigmes ou des cachettes souvent improbables, l’idée de l’escape game cybersécurité est au contraire de reproduire des situations réelles et crédibles dans lesquelles les participants se reconnaîtront.
Il est également important de bien doser le niveau de difficulté des énigmes en fonction des populations ciblées. Si l’escape game est déployé sur une large population de collaborateurs de l’entreprise, les énigmes devront être accessibles à des personnes sans expertise informatique. Au contraire, s’il s’adresse à des populations plus techniques, il faudra alors complexifier les énigmes : les joueurs pourront par exemple avoir à réaliser une injection SQL simple sur une application pour accéder à des données confidentielles. Le mode opératoire de l’injection peut être mis à disposition sur un site web présent dans les favoris du navigateur du poste de travail.
Enfin, une fois l’ensemble de ces éléments spécifiés et mis en œuvre, quelques sessions de test seront nécessaires pour affiner la durée du jeu et mettre au point les indices que le maître du jeu donnera aux participants en cas de blocage : il est en effet important que les participants réalisent l’ensemble des objectifs afin que toutes les thématiques de sensibilisation soient abordées.
Une action très efficace à inscrire dans une stratégie globale de sensibilisation
Les mises en situation procurées par l’escape game permettent une véritable prise de conscience et garantissent ainsi une très bonne appropriation des messages. Les participants font spontanément le lien entre les situations auxquelles ils sont confrontés pendant le jeu et des situations vécues, ce qui rend la phase de débriefing très riche : les échanges sont nombreux et l’expérience montre que les participants s’intéressent réellement au fond des sujets abordés.
L’escape game ne se substitue cependant pas aux autres moyens de sensibilisation : il doit s’inscrire dans une stratégie globale, qui alterne les actions à fort impact (mais coûteuses…) et les actions moins onéreuses (mais également moins efficaces…) qui permettent d’entretenir la dynamique de sensibilisation dans la durée et avec un budget maîtrisé.
Enfin, et même si ce n’est pas son objectif premier, l’escape game cybersécurité constitue un excellent outil de teambuilding !