Octobre est le mois de la cybersécurité, un événement qui est loin d'être passé inaperçu chez Belnet. Afin de sensibiliser nos collègues aux dangers de l'ingénierie sociale, nous avons organisé plusieurs parties de ‘Piece of Cake’, un jeu de rôle inventé par nos collègues du réseau suisse de recherche et d'enseignement SWITCH. Ces parties successives se sont déroulées au cours des derniers mois.
Il y a belle lurette que les cybercriminels ont intégré le fait qu'il est souvent plus facile de pirater des particuliers que des systèmes très sécurisés. Les pirates informatiques utilisent diverses techniques de manipulation, telles que la fraude au CEO, afin de pousser les utilisateurs à donner involontairement des informations confidentielles ou de l'argent. Les chiffres de CERT.be montrent que le hameçonnage a permis de dérober un montant total de 39,8 millions d'euros en 2022, ce qui représente une augmentation de près de 60 % par rapport à 2021. Ce qui nous amène au constat suivant : nous avons non seulement besoin de services de sécurité professionnels pour protéger notre infrastructure et nos données, mais aussi d'experts en communication, en formation et en changement de comportement pour transformer nos utilisateurs en « maillon fort ».
Mais comment sensibiliser les utilisateurs aux risques de sécurité ? Comment faut-il s'y prendre pour les motiver à modifier leur comportement, qui repose souvent sur des habitudes ? Les méthodes de formation traditionnelles sont sans aucun doute utiles, mais elles manquent parfois d'interaction et de créativité. C'est là qu'intervient la gamification : l'utilisation d'éléments de jeu visant à inciter les utilisateurs à résoudre des problèmes et les motiver en intégrant des éléments de compétition et de récompense dans la formation. En outre, il a été démontré que les méthodes de formation basées sur la gamification permettent non seulement d'accroître la quantité de connaissances acquises, mais aussi de les mémoriser plus longtemps.
Piece of Cake
Nos collègues de SWITCH, le réseau suisse de recherche et d'enseignement, l'ont bien compris : ils ont mis au point une série de formations pratiques pour leur communauté, qu'ils ont baptisée ‘SWITCH Security Awareness Adventures’. Chaque « aventure » consiste en un savant mélange de théorie et de pratique, où le travail d'équipe occupe une place stratégique.
Chez Belnet, nous avons récemment commencé à utiliser ‘Piece of Cake’, un jeu de rôle qui se pratique sur table. Un maître du jeu a lancé à nos collègues le défi suivant : une fois répartis par groupes de cinq, ils devaient faire preuve d'imagination créatrice. Leur mission : récupérer la recette volée dans leur boulangerie (fictive) en induisant leurs concurrents en erreur et en recourant à diverses techniques d'ingénierie sociale.
Une fois le jeu de rôle terminé, nous avons fait un débriefing afin de passer en revue les différentes techniques d'ingénierie sociale utilisées par le groupe. Quelqu’un fouille dans les poubelles à la recherche d’informations sensibles ? Voilà un bon exemple de « dumpster diving ». Ou encore : l'un des participants se fait passer pour un fournisseur afin de s'infiltrer dans la boulangerie concurrente ? C'est l'exemple typique de manipulation psychologique utilisée par les cybercriminels pour tromper leurs victimes.
Piece of Cake met en exergue l'importance de protéger les informations personnelles et sensibles contre un accès non autorisé. Le jeu ne nécessite aucune préparation de la part des participants, mais il requiert un bon esprit d'équipe et une bonne dose de créativité. À l'issue du jeu, les participants auront pu se familiariser avec les techniques des cybercriminels.
Cela vous intéresse ?
Le jeu ‘Piece of Cake’ est disponible sous une licence Creative Commons qui autorise toute diffusion de l'œuvre originale. Le matériel de jeu a aussi été traduit en français et en néerlandais.
Davina Luyten est communications officer chez Belnet. Elle a une formation en traduction, en journalisme et en communication d'entreprise multilingue. Chez Belnet, elle se concentre sur la communication externe, les relations publiques, la communication de crise et la sensibilisation à la sécurité. Elle participe au projet GÉANT depuis 2020, notamment à la campagne annuelle de sensibilisation à la cybersécurité.
Vous voulez tester le jeu au sein de votre organisation ?