samedi 5 octobre 2013

Un jeu sérieux pour appréhender le risque numérique !




Pour réduire les risques numériques en entreprise…
un serious game !


On avait entendu dans le cadre des 13èmes Assises de la Sécurité des Systèmes d’Information « qu’aucun système d’information n’était désormais à l’abri d’une intrusion ! ».

Comment un serious game peut-il contribuer à réduire les risques numériques susceptibles d’affecter l’entreprise ? C’est ce qui a été expliquer lors d’une table ronde animée par le CIGREF et le Comité Richelieu, au dernier jour de cesAssises 2013.

Jean-François Pépin, Délégué général du CIGREF et animateur de cette table ronde, a rappelé qu’ici même, à Monaco en 2012, Philippe Berna (Président du Comité Richelieu) et Pascal Buffard(Président du CIGREF) avaient lancé l’idée de la réalisation d’un serious game pour la sécurité des entreprises, destiné à sensibiliser les collaborateurs aux aspects de sécurité des usages numériques en entreprise.

Aujourd’hui, l’objectif de cette table ronde est de dresser le bilan des travaux menés par le CIGREF, pilotés par Jean-Marc De Félice, avec les Auditeurs du cycle de spécialisation « Sécurité numérique » de la 3ème session INHESJ, afin de recueillir les avis des participants aux Assises 2013.

Faire passer la culture du risque au sein de l’entreprise

Jean-Marc de Félice, Directeur des ressources techniques chez Radio France expose le projet : « On peut mettre en place toutes les conditions technologiques possibles pour prévenir les risques numériques, l’essentiel est que les collaborateurs prennent conscience des risques auxquels ils s’exposent et auxquels ils exposent l’entreprise. Il faut qu’ils soient sensibilisés et fassent attention à ce qu’ils font. Y compris le « top management » qui est souvent celui par lequel les nouveaux devices sont arrivés et qui n’a pas toujours en tête toutes les règles de protection.

De nouveaux outils numériques existent, et nous avons aujourd’hui un système d’information très ouvert sur l’extérieur. Ces outils numériques offrent de nombreuses de possibilités, mais aussi présentent un certain nombre de contraintes qui doivent être prises en compte. Il faut faire passer la culture du risque dans l’entreprise ! ».

Jean-Marc de Félice rappelle que des moyens classiques ont été et sont utilisés pour faire passer ce message en entreprise. Ils appartiennent au domaine de la formation, que ce soit en présentiel, avec des vidéos, des documentaires, des fascicules remis aux collaborateurs. Le e-learning également, à partir de questions via des QCM, mais c’est souvent assez fastidieux.

Le serious game pour sensibiliser au risque numérique

Le projet du CIGREF et du Comité Richelieu d’utiliser un serious game pour sensibiliser au risque numérique les collaborateurs de l’entreprise, relève d’une autre démarche : « c’est déjà l’occasion de privilégier l’outil numérique. C’est surtout une approche innovante. Elle permet de concilier le jeu, son aspect ludique et l’acquisition de connaissances. D’autres domaines montrent que cela marche plutôt bien. On s’aperçoit que dans un simulateur de vol par exemple, face à un jeu, les réactions et l’enrichissement des connaissances est bien maitrisé, beaucoup mieux qu’à travers une simple communication.

Le serious game a par ailleurs l’avantage de s’adapter à la disponibilité de l’utilisateur, il peut jouer à temps perdu, en déplacement, chez lui…».

La feuille de route du serious game « anti-risques » !

Les grands principes du jeu sont simples : c’est la mise en situation d’un collaborateur face à son poste de travail, à des univers représentatifs de situations courantes de risques auxquels il peut être confronté dans ses situations de travail.

Jean-Marc de Félice explique : « pour chaque situation, le jeu propose une mise en contexte. En déplacement à l’hôtel par exemple. Survient un événement et là, il y a plusieurs possibilités. Je trouve une clé USB par terre, qu’est-ce que je fais ? Je la mets dans mon PC, je la porte au SSI, je la détruis… face à ces questions il y a plusieurs réponses, des bonnes, des moins bonnes, même des réponses éliminatoires. En fonction des réponses données, on passe ou non à l’étape suivante. Le jeu signale les mauvaises réponses. L’objectif est aussi de permettre la restitution de ces éléments clés à la fin de la session.

Parmi les critères importants, nous avons voulu que le serious game soit personnalisable et paramétrable afin de pouvoir être utilisé par le plus grand nombre d’entreprises, quelles que soient leurs contextes. Le jeu doit pouvoir s’adapter à peu près à toutes les situations que l’on peut rencontrer dans chacun des quatre univers de l’entreprise : dans l’entreprise elle-même, au bureau devant son ordinateur, en voyage ou en déplacement, mais aussi à son domicile.
Il faut qu’il puisse tenir compte de la politique de sécurité déjà en place au sein de l’entreprise. On doit pouvoir aussi par exemple y apposer le logo de l’entreprise. Il nous a semblé que le RSSI serait le mieux placé pour effectuer cette personnalisation.

Nous avons également voulu qu’il puisse être modulaire. Il y a des situations à risques connues aujourd’hui, mais cela peut évoluer. De nouveaux risques arrivent, des situations nouvelles peuvent se présenter, on doit pouvoir les intégrer sans trop de difficultés.

Il faut encore qu’il soit utilisable sur n’importe quel type de terminal. On doit avoir la plus grande liberté en matière d’utilisation. Il fallait qu’il soit également multilingue. Important aussi de proposer ce jeu en mode service, sans nécessiter d’installation sur les terminaux ».

Pour la phase de réalisation du jeu…

Fruit d’un partenariat CIGREF Comité Richelieu, Gilles Casteran, Directeur d’Arismore, représente le Comité Richelieu : « Dans un premier temps, l’usage de ce jeu avait été envisagé pour les entreprises participant à sa réalisation. Or, les situations présentes dans le serious game sont des situations de la vie courante. Elles peuvent exister aussi dans la vie personnelle. Pourquoi ne pas considérer la possibilité de l’ouvrir au grand public, peut-être avec une participation de l’Etat ?

Concernant la réalisation du jeu, le CIGREF a souhaité faire travailler des PME françaises et associer d’autres partenaires : organismes de formation, institutions de l’enseignement public…

La phase de de réalisation, de financement de ce projet innovant ne sera pas l’exclusivité des entreprises du Comité Richelieu. Des entreprises de la sécurité ont également leur mot à dire. Elle réunira les meilleurs acteurs ! ».

____________________

Cet article s’appuie sur les notes prises pendant cette table ronde, avec tous les risques d’interprétation que cela induit. Il n’engage pas les personnes citées.

En prolongement…
Les Serious Games au service des entreprises

Publié le 5 octobre 2013 par Entreprise Numérique

Aucun commentaire:

Enregistrer un commentaire