Sensibiliser vos équipes au numérique n’est pas forcément un parcours du combattant. Au contraire, vous pouvez mettre en place une politique efficace qui permettra de leur apprendre les bons gestes de façon ludique et durable.
Permettez-nous de commencer par une ébauche d'histoire :
Les yeux de Sarah se sont portés sur l'objet de l'e-mail, qui se lisait comme suit : « URGENT : Paiement nécessaire - Action requise ». Il était 16 heures, un vendredi, et le nom du PDG apparaissait dans le champ de l'expéditeur. Le message était précis et allait droit à l'essentiel :
"Bonjour Sarah, nous devons effectuer ce paiement avant la fermeture des bureaux aujourd'hui, sinon nous devrons faire face à des frais juridiques supplémentaires. Voir les informations de paiement ci-jointes. Cela concerne le Projet Phoenix et la fusion dont je t'ai parlé lors de notre dernière visio sur les résultats la semaine dernière. Je suis en réunion avec le service juridique et d'autres personnes, et je n'ai donc pas le temps de t'en dire plus. Peux-tu t’en occuper le plus rapidement possible ?”
L'estomac de Sarah se noue sous l'effet de l'anxiété et son pouls s'accélère sous l'effet de la panique. Pendant un bref instant, elle a l'impression d'avoir déjà vu ce type de message, peut-être lors de la formation de sensibilisation à la cybersécurité de l'année dernière ? Mais comment être sûr ? Cette formation se résumait à un PowerPoint et des captures d'écran sans contexte, un quizz à choix multiples, le tout agrémenté de termes et de concepts obscurs.
En attendant, le projet Phoenix était bien réel, tout comme la fusion évoquée. Le ton n'était pas très différent des directives succinctes contenues dans les récents mémos internes. Et pour couronner le tout, « qui suis-je pour remettre en question les instructions du PDG ? », se dit Sarah. Sous pression et vulnérable aux signaux d'autorité, Sarah s'est débarrassée de son malaise, a fait ce qu'on lui demandait et a consciencieusement viré l'argent.
Le lundi suivant, la réalité a frappé comme la foudre : 200 000€ ont disparu sur un compte offshore administré par des fraudeurs. L’e-mail ? Falsifié et assemblé à partir d'informations tirées de communiqués de presse et d'articles publiés sur LinkedIn. Rien de bien compliqué pour un malfaiteur averti. Et comme bien souvent dans les cyberattaques, la psychologie humaine l'a emporté sur la politique de sécurité.
Bien que cette histoire soit fictive, elle dépeint un scénario qui se déroule souvent dans le cadre du cauchemar cyber récurrent qu'est la fraude dite BEC pour Business Email Compromise et qui consiste à frauder par l’intermédiaire de l’email de l’entreprise. Ces escroqueries ne reposent pas sur des prouesses techniques particulières mais bien sur nos failles humaines, émotionnelles, et qui finissent par rapporter gros aux escrocs. Selon le FBI, entre 2013 et 2023, la fraude BEC a coûté 55,5 milliards de dollars aux entreprises du monde entier. De quoi prendre très au sérieux la sensibilisation des employés à la cybersécurité.
La vérité en face
L'histoire ci-dessus expose un problème majeur : même les employés les plus consciencieux sont enclins à oublier ce qu'ils ont « appris » lors de l'une formation à la cybersécurité. Les PowerPoint aseptisés, les quiz ennuyeux et les checklists de conformité s'oublient vite. Beaucoup de ces programmes de sensibilisation ne donnent que des résultats moyens et ne s'attaquent pas à la racine du problème : la faille humaine. Les employés veulent vite s’en débarrasser et ne retiennent que peu de choses qu'ils oublient tout aussi vite de mettre en pratique.
Cette situation est inquiétante, car la question n'est pas de savoir si les employés seront confrontés à une attaque, mais s'ils seront préparés lorsque la pression augmentera et qu’ils seront face à cette situation. Et beaucoup ne le sont manifestement pas, comme le montre, par exemple, le dernier Data Breach Investigations Report (DBIR) de Verizon, qui indique que plus des deux tiers des violations de données impliquent une erreur humaine. Un employé est face à un dilemme, s’engage, clique, puis fait une erreur. Un employé exactement comme Sarah.
Imaginez des exercices d'incendie au cours desquels les employés assistent à un cours sur la théorie de la combustion plutôt que d'évacuer le bâtiment. Pourquoi « former » des personnes à surmonter des cyberattaques à l'aide de politiques abstraites, plutôt qu'à l'aide d'une expérience engageante et simulée ? Pourquoi soumettre vos employés à une formation banale qui risque d'échouer dès que la pression se fera sentir ?
La solution
Notre cerveau n'est pas paresseux : il est très efficace. Chaque jour, nous traitons des centaines de messages, cliquons, partageons des tas d’éléments, ce qui nous oblige à aller à l’essentiel. Face à ce déluge d'informations, nous sommes conditionnés à prendre des décisions en une fraction de seconde, lesquelles privilégient souvent la rapidité sur tout le reste, y compris la sécurité.
Mais plutôt que d'envoyer des avertissements ou de ressasser les mêmes vieux questionnaires, la solution consiste à "paramétrer" différemment les cerveaux. Plus exactement, il s'agit d'utiliser des techniques qui peuvent aider à réajuster les circuits de prise de décision et à nous entraîner à suspendre nos réactions habituelles, voire à intégrer de nouvelles habitudes dans certains de nos comportements. Notre cerveau a tendance à écarter les faits bruts pour économiser de l'énergie, mais il s'accroche volontiers aux expériences participatives chargées d'émotion.
C'est à ce moment précis que les simulations réalistes et l’ajout d’une dimension ludique bien pensée peuvent être utiles, en empruntant aux jeux vidéo des éléments qui sollicitent naturellement le cerveau. En fait, qu'il s'agisse de votre application de fitness qui transforme les séances d'entraînement en jeux ou des applications de réseaux sociaux qui alimentent notre besoin de validation par des likes, bon nombre de vos applications quotidiennes font déjà appel à certains des principes qui sous-tendent la gamification. Les mécanismes de jeu sont également utilisés avec beaucoup de succès dans des compétitions auxquelles d'innombrables professionnels des technologies de l'information participent chaque année avec intérêt.
L'art de raconter des histoires
L'un des principaux moyens d'améliorer la sécurité de votre organisation consiste à exploiter le pouvoir de la narration. Les histoires sont bien plus qu'un moyen de passer le temps - elles nous ont toujours aidés à comprendre le monde et même à partager des stratégies de survie. Elles stimulent les régions du cerveau liées au plaisir et à l'émotion, ce qui finit par modifier les attitudes et les comportements.
Il est donc logique que le pouvoir de cet outil de survie soit de plus en plus exploité pour survivre dans le monde numérique actuel, en particulier par le biais de la gamification. Lorsque les défis en matière de sécurité sont intégrés dans un scénario captivant qui présente les menaces comme des personnages, les mesures de sécurité comme des outils et les employés comme des héros, la formation de la mémoire et la mémorisation peuvent augmenter de manière significative.
Par ailleurs, les simulations réalistes d'hameçonnage permettent un apprentissage pratique et contribuent à développer la mémoire musculaire. Elles ne se contentent pas d'enseigner, elles testent et renforcent les bons comportements dans un contexte et un environnement sûr. L'apprentissage par scénario et les simulations réalistes placent les employés dans des situations qui reflètent les menaces réelles et donnent vie aux concepts de sécurité, contribuant à créer des ancrages émotionnels qui persistent longtemps après la fin de la formation. La prolifération des stratagèmes impliquant des « deepfakes » et d'autres escroqueries assistées par l'IA ne fait que renforcer l'urgence - il suffit de penser à cette affaire datant d'il y a quelques semaines où un professionnel de la finance a versé 25 millions de dollars après un appel vidéo avec des versions « deepfake » de membres du personnel haut placés.
De la case à cocher à l'échec
Imaginons donc que Sarah, confrontée à cet e-mail urgent, ne panique pas. Au contraire, elle marque une pause. Elle reconnaît les signaux d'alerte, car elle a été confrontée à des scénarios similaires lors de sa formation à la sécurité. Elle a acquis la mémoire musculaire nécessaire pour s'arrêter, réfléchir et vérifier avant d'agir. En fin de compte, au lieu de transférer des fonds à un cybercriminel, elle alerte l'équipe de sécurité d'une tentative d'attaque sophistiquée, transformant une mésaventure potentiellement embarrassante (suivie d'une couverture médiatique défavorable d'un cyberincident ayant réussi) en un moment d'apprentissage efficace pour elle-même et pour le reste de l'entreprise.
L'objectif final n'est pas seulement la conformité - il s'agit de faire en sorte que les comportements en matière de sécurité soient durablement installés et surtout qu'ils deviennent instinctifs pour les employés de l’entreprise.