Cyberludik – Le jeu au service de la cybersecurité
Nous vivons dans un monde de plus en plus numérique. Avec une explosion des moyens de communication, une multitude de possibilités de transmission de données, et plus particulièrement de nos données personnelles. Vous, moi, les particuliers, les entreprises, les collectivités, nous avons tous maintenant des données numérisées.
Vos coordonnées pour votre employeur, votre IBAN dans les sites de ventes en ligne, vos données de santé sur les sites de mutuelles (j’ai écrit cette introduction avant le vol massif de données de 33 millions de Français début février…).
Toutes ces données sont des mines d’or pour des personnes ou des organismes mal intentionnés, dont l’usage malveillant n’est que de plus en plus préoccupant (phishing, usurpation d’identité, espionnage, …). Les entreprises l’ont bien compris. Néanmoins, il est vraiment nécessaire que nous soyons tous informés des risques et des menaces, ainsi que des méthodes pour y faire face.
C’est dans cette optique que le jeu Cyberludik a été conçu : sensibiliser les organisations, publiques ou privées, aux risques de ne pas protéger leur environnement informatique, et faire prendre conscience aux employés des bonnes pratiques à appliquer. On le sait, 99% des attaques informatiques passent par une intervention humaine (comme ouvrir un email avec un virus, par exemple).
Cyberludik est un serious game qui va nous faire explorer les grandes possibilités d’attaques informatiques, et comment s’en protéger. C’est un jeu dont l’objectif premier n’est pas ludique, mais d’aborder un thème sérieux, voire un peu anxiogène, en s’aidant du jeu, donc de manière plus conviviale et moins ronflante qu’une présentation PowerPoint. Par le jeu, on va provoquer de l’interaction entre les participants pour mieux faire passer les messages, et les rendre acteurs des actions à mener.
4 équipes vont entrer en concurrence lors de ce jeu, chaque équipe étant constituée de 2 à 3 personnes. Oui, Cyberludik est plus intéressant avec plusieurs joueurs. C’est un outil de formation et de sensibilisation, donc les échanges seront de mises.
Les équipes, qui incarnent une entreprise ou une collectivité vont devoir progresser sur une piste pour un jeu dont la mécanique s’apparente au jeu de l’oie. Eh ! N’arrêtez pas la lecture ici ! Le jeu se veut forcément facile et accessible à un public qui n’est pas familiarisé avec toute la richesse du monde ludique.
Le public justement est clairement orienté entreprise pour toute personne qui serait amenée à manipuler de la donnée. Pour le jeu, l’objectif final est d’être la première équipe à atteindre le bout de la piste.
À leur tour, les équipes vont devoir décider entre deux options :
- Lancer un dé et avancer sur la piste de jeu. Ils devront alors piocher une carte « Activité », qui sera un usage de l’environnement informatique de l’entreprise (Exemple : Avoir des disques durs externes, avoir des téléphones portables, …).
- Ne pas progresser sur la piste, et décider de renforcer un point de sécurité, soit de leur organisation (par exemple, avoir une charte informatique expliquant le bon usage d’Internet), soit lié à une activité acquise (par exemple, chiffrer les ordinateurs portables).
Le jeu propose une approche par les risques. En avançant sur la piste, des événements vont parfois se produire, qui sont une situation de préoccupation pour l’entreprise. Par exemple, un employé se fait voler son ordinateur professionnel (contenant évidemment des informations sensibles) dans sa voiture. Si l’équipe n’a pas cru bon de protéger les ordinateurs par du chiffrement, ils vont devoir reculer sur la piste. Les équipes devront donc trouver le bon équilibre entre sécurisation (faire du sur-place sur la piste) et progresser pour gagner.
La part de hasard est évidemment assez importante, notamment sur le tirage des cartes événements, mais ce n’est pas très grave. Car la finalité est de faire passer des messages, sans rentrer dans de la complexité technique ou juridique. Pour cela, il est recommandé d’avoir un « animateur sécurité » (Quelqu’un de l’équipe sécurité de l’entreprise, par exemple) qui assiste le jeu et qui peut intervenir pour expliquer certains concepts. Qu’est-ce que c’est qu’un MFA, par exemple ? C’est le petit SMS de confirmation que vous recevez pour confirmer une authentification. Petit plus, les cartes présentent des QR codes pouvant éclairer sur les concepts abordés si nécessaire.
Rappelons que Cyberludik est un serious game dans un contexte entreprise. Ce n’est pas un p’tit jeu à lancer le soir dans son association de jeu. Il s’adresse à un public professionnel qui est concerné par ces problématiques de protection de son environnement informatique (typiquement ceux travaillant avec un système d’informations), et un public management, pour qui les préoccupations sécurités sont, à tort, moins importantes que les préoccupations de développement du business. Il y a donc une part d’amusement, de compétition entre les équipes pour gagner, mais cela reste un outil pédagogique.
Le prix de vente du jeu est particulièrement onéreux (300€) pour un simple particulier, mais une goutte d’eau pour une entreprise, dont les conséquences d’une cyberattaque pour cause de mauvaise protection se chiffreraient avec beaucoup plus de zéros, et donc pour qui la prise de conscience des actions de protection à faire est primordiale. Notons aussi que le jeu est éco-responsable et applique la réglementation « Fabriqué en France », et s’inscrit notamment dans les dispositifs Imprim’Vert, La French Touch, La French Fab et La French Tech.
Cette approche par le jeu est intéressante car cela permet de passer un bon moment, que l’on peut inclure dans un contexte de « team-building » (Réunion d’équipe dans le but de souder les liens entre les personnes), tout en abordant une problématique de sensibilisation.
De mon expérience, l’usage du jeu dans un contexte professionnel est très bénéfique car il fait tomber des barrières par le partage d’une activité en commun, en sortant un peu du cadre du travail quotidien. Ah, le jeu, quel merveilleux vecteur de sociabilité ! Alors si en plus cela permet aux participants de prendre conscience d’un certain nombre de risques lié à la cybercriminalité, et d’être plus alerte aux menaces, alors le pari est gagné.
Pour finaliser, je ne pourrais que citer Mathias Moulin, Secrétaire général adjoint de la CNIL :
« Ne pas avoir une bonne hygiène de la gestion des données et de mise en place du RGPD [ndlr : Réglementation sur la protection des données personnelles] et de ne pas écouter son responsable des données personnelles, c’est jouer à la roulette russe avec la réputation de son entreprise, la sécurité des données et son patrimoine informationnel et avec la confiance de ses clients, de ses partenaires et de ses employés. Ceux qui ne l’ont pas compris l’apprendront à leur dépends »
Le jeu est uniquement disponible sur le site https://cyberludik.fr/
Interview d’Adrien Chambade, créateur du jeu Cyberludik
Peux-tu nous en dire plus sur la genèse du jeu Cyberludik ? Comment as-tu conçu le jeu ?
L’initiative CyberLudik est née lors du premier confinement, la période COVID ayant pu permettre de prendre du recul sur l’activité de sensibilisation et formation opérée par ONYTL ROCKS, un constat qui a fait émerger la nécessité de trouver des outils qui changent du PowerPoint habituel utilisé lors des présentations. Le temps pris à intégrer un volet ludique aux sensibilisations a rapidement amené à s’orienter sur le sujet du jeu plateau. Au départ simple outil interne, il a été remarqué par des collègues, confrères, et la demande externe nous a poussé à industrialiser cela afin de le proposer aux autres organismes qui réalisent de la sensibilisation.
Viens-tu du monde du jeu de société ? Est-ce ta première idée de serious game ?
Pas spécialement, j’ai joué comme beaucoup durant ma jeunesse en famille et entre amis aux jeux de cartes et de société. Cela a été la première idée et réalisation de jeu sérieux, de jeu tout court même !
Quels sont les réactions des personnes après avoir joué au jeu ? Est-ce que tu constates des prises de conscience ?
Les gens sont généralement dubitatifs au départ, parfois davantage quand ils ont déjà joué à d’autres jeux qui ne traiteraient que le sujet en surface. En règle générale, les participants intéressés dès le départ y trouvent leur compte et apprécient le moment passé. Ce sont surtout les retours des profils experts qui sont les plus surprenants : n’y croyant pas au départ, ils découvrent une réelle profondeur dans le jeu, et constatent que le fonctionnement n’est pas un simple lot de questions/réponses en mode Trivial Pursuit, et prennent plaisir à tester la réaction du jeu à certaines stratégies. Au final, le plus intéressant est la meilleure compréhension des termes, des concepts, et de l’importance des bons réflexes.
Y-a-t’il des variantes du jeu ? Des nouveautés à venir pour aborder d’autres thèmes
Le jeu a été à ce jour décliné officiellement en français en plusieurs versions : la version Cybersécurité généraliste, et des approches conformité orientées sur certains publics (par exemple pour les collectivités territoriales) ou pour des référentiels spécifiques (comme le RGPD ou la norme ISO 27001 par exemple). D’autres déclinaisons et traductions existent, et arrivent au fur et à mesure des années et des opportunités de déploiement.
Meeple_Cam 17/12/2023
Pour sortir du serious game, j’envisage aussi de faire tester Space Alert à certaines équipes pour la sensibilisation de la répartition des rôles en situation de crise
gaillard-midol 02/04/2024
Il existe aussihttps://www.cyber-wargame.fr/ , serious game orienté entreprise (160e le jeux en usage interne, 320 pour faire des prestations) avec notamment du simili jeux de role sur gestion de crise cyber