Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Comment sensibiliser les employés à la sécurité ?

mai 2015 par Emmanuelle Lamandé

Si les modes opératoires des cyberattaques varient d’une affaire à l’autre, elles partagent souvent un point commun : l’utilisateur comme point d’entrée dans l’entreprise. Sous une identité familière, les fraudeurs envoient régulièrement des emails, dont les pièces jointes ou liens contiennent des contenus malveillants. Ils ont ensuite champs libre pour infiltrer et exploiter les systèmes informatiques dès lors qu’un seul employé tombe dans le piège. Afin de lutter contre ce phénomène, Kaspersky Lab France propose un serious game dédié à la sensibilisation à la sécurité en entreprise.

« Plus d’un tiers des fuites de données en entreprise est la conséquence d’un facteur humain, rappelant que lutter efficacement contre la cybercriminalité ne pourra se faire sans le rôle essentiel de l’éducation et de la formation. L’apprentissage des règles de sécurité informatique lié aux usages quotidiens devenus des automatismes, qu’il s’agisse de mots de passe, BYOD, réseaux sociaux et applications ou même de phishing, doit désormais être considéré comme indispensable à la formation des employés d’une entreprise, au même titre qu’une formation métier », explique Tanguy de Coatpont, Directeur général de Kaspersky Lab France.

Le serious game créé par Kaspersky Lab permet d’impliquer les utilisateurs qui vont être formés et d’évaluer le niveau de sensibilisation des équipes en matière de sécurité. L’objectif est de sensibiliser tous les publics de l’entreprise, quels que soient leur fonction et leur niveau de connaissance en informatique (aucun prérequis nécessaire) aux cyber-risques encourus, en mettant les salariés dans des situations du quotidien. Il est, en effet, nécessaire que les personnes qui utilisent la technologie comprennent les risques et les basiques de la sécurité. A la fin de la session, les collaborateurs seront plus vigilants et mieux armés pour éviter les pièges des pirates informatiques, ce qui réduira le risque pour l’entreprise.

Le jeu est réalisable en face à face ou en ligne. Il se déroule par équipes, sous la direction d’un animateur. Il est divisé en 3 parties, qui correspondent à 3 mises en situation différentes (bureau, aéroport, vidéoconférence). Il faut compter 2 à 3 heures pour réaliser chacune d’entre elles. Chaque situation est représentée par un dessin, contenant 12 situations que l’équipe devra évaluer par un système de jetons comme dangereuse (jeton rouge) ou non (jeton vert). Lorsqu’une équipe juge qu’il y a présence d’une cyberattaque dans une situation donnée, elle peut également en estimer la fréquence (pion rouge). Le score de chaque équipe correspond au cumul des points (menace + fréquence des attaques), et celle qui obtient le meilleur résultat ressort grande gagnante.

L’animateur peut, de plus, illustrer certaines des problématiques par des jeux annexes, selon ce qu’il souhaite mettre en avant. En effet, une plateforme de 15 jeux ou défis en ligne est également disponible. Parmi eux, on retrouve entre autres :
- Anti-phishing Phil, Anti-phishing Phyllis et Email Security : 2 jeux et une formation permettant d’apprendre à repérer les hameçonnages ;
- Passwords, pour savoir créer et gérer des mots de passe robustes ;
- Safe Social Networks et Social Engineering, afin d’apprendre à utiliser les réseaux sociaux de manière responsable et à échapper aux escroqueries ;
- Safer Web Browsing, pour naviguer sur Internet en évitant les pièges les plus courants, et URL Training afin de repérer les URL frauduleuses ;
- Data Protection and Destruction apprend, pour sa part, à utiliser les supports de stockage amovible et à supprimer les données sensibles ;
- Mobile Device Security permet de mieux protéger les informations contenues dans les appareils mobiles ;
- Etc.

Une boîte de jeu par licence achetée comprend :
- 1 plateau de chaque mise en situation (bureau, café à l’aéroport et vidéoconférence) ;
- 36 jetons rouges, 36 jetons verts et 36 pions rouges ;
- Une formation par un animateur ;
- Des codes animateur vers des jeux en ligne ;
- Un document didactique (PowerPoint) à suivre par l’animateur.

Une entreprise peut également choisir uniquement l’accès à la plateforme de 15 jeux en ligne, comprenant aussi la validation des acquis et le reporting. L’administrateur pourra, en effet, accéder à un rapport détaillé de l’utilisation faite des jeux et formations, et notamment aux scores individuels de chaque utilisateur. Cela permet à la fois de valider les acquis et de fixer les objectifs à atteindre, que ce soit pour l’entreprise dans son ensemble ou chacun de ses collaborateurs.




Voir les articles précédents

    

Voir les articles suivants