La « Gamification », un principe RH simple pour la cybersécurité

par Groupe services-conseils en gestion des risques

Original, tel qu’il apparaît sur FacteurH – http://facteurh.com/

‍En organisation, il est complexe de faire appliquer des politiques, des règles de conduite, des principes écrits. Pourquoi? Déjà parce que nous ne lisons plus. Nous ne voulons pas « perdre » notre temps précieux à comprendre ce qui semble trivial et attribué à du « gros bon sens ». Résultat de ce constat, le ou les documents qui ont coûté si cher à l’organisation pour être conçus, rédigés, assemblés et revus deviennent les affres mourantes d’une littérature bureaucratique dépressive fondée sur l’injonction d’agir ou de ne pas faire, attendant sur une étagère ou au fin fond d’une zone mémoire perdue du serveur de fichiers, le jugement et la sentence d’obsolescence d’un auditeur obséquieux et tout aussi bureaucratique. « Respiration et soupir ».

Pauvre politique de sécurité de l’information, qui ne sera lue que par quelques hurluberlus de la masse salariale (j’en fais partie) et qui s’interrogeront maladivement sur la virgule de trop, l’atteinte à leur vie privée qu’ils disent pourtant laisser hors du bureau et qu’ils, une fois le document terminé de lire, et la substance de celui-ci ingérée qu’à 20 % tout au plus, auront littéralement dans le cadre de son application tout oublié 5 minutes plus tard.

Alors quoi!? Devrions-nous écrire ces documents exactement comme le début de cet article style « billet d’humeur » pour que les gens le lisent? Non! Les gens ne lisent plus. Une vidéo? Une formation? Vous vous projetez déjà dans l’allocution monocorde d’un gars démotivé par la vie corporative sur un sujet qui ne vous intéresse pas. Alors, comment réimplanter cette hygiène nécessaire à tous?

En effet, si vous avez lu mes articles, je me préoccupe aussi bien de votre vie privée que de vos actifs et actes corporatifs. Alors, quoi? La « Gamification », encore un « buzz word »! Non, car aujourd’hui, je vous l’explique et je vous l’implante dans votre conscient. Qui sont nos collaborateurs de demain, vos adolescents, vos enfants, dans 5 ou 10 ans, on y est! J’enseigne à l’École Polytechnique de Montréal et les générations estudiantines, pourtant déjà âgées, déclarent que le courriel est une technologie obsolète que l’on ne les forcera pas à utiliser… Imaginez le reste!? Alors devons-nous mettre notre politique sur Instagram ou sur Snapchat bardée d’effets? Non. Cette génération joue, joue beaucoup, regarde des mini-capsules rapides et intenses ou le message est ludo-éducatif et immédiat quasi-prédigéré. Voici l’autoroute de leur compréhension. Vous pensez qu’en allant dans ce sens, on augmente le problème? La réponse, je ne crois pas. Même vous, dans la 30aine, 40aine ou 50aine ayant déjà plusieurs années d’expérience corporative, ne voulez pas lire ce document.

Vous attendez de moi, ou des gens comme moi, alias des CISO (Chief Information Security Officer) que l’on vous transforme pour prendre le chemin de cette hygiène. Il faut que je vous transforme, mais en quoi? Et bien, c’est assez simple, reprenons les mécaniques RH de base pour galvaniser la motivation de l’employé : quand on veut obtenir qu’un apprenant intègre rapidement un comportement, il lui faut une posture ACTIVE lors de l’apprentissage! Pour que l’apprenant soit motivé à apprendre et soit dans une posture active volontairement, il faut : des objectifs simples et rapides transformés en une  mission transposable en actions pour lesquelles une compétition aura lieu (contre soi-même, l’environnement, la machine ou d’autres humains) en coopération ou en solo pour l’obtention d’une récompense, une forme de gloire sociale et une reconnaissance de l’évolution par l’expérience obtenue. Voici pour la transformation des objectifs SMART ou SMARTER en objectifs ludo-éducatifs réels. Pour transformer maintenant, l’employé apprenant en joueur apprenant, il faut que la mécanique du jeu lui propose naturellement les rôles suivants : Explorateur, Aventurier, Combattant, Protecteur, Duelliste, Chercheur ou même Sage.

Vous commencez à comprendre… Le leader exceptionnel sait déjà le faire dans son équipe. Un jeu peut devenir votre plateforme corporative sociale de discussion inter-employés (vous avez peut-être un « chat » ou un forum interne), le jeu peut vous mener aux principes importants de sécurité et peut mettre votre comportement au défi. Par exemple, pour éviter que les employés ne se transfèrent de l’information corporative confidentielle sur leur courriel personnel, les organisations mettent à disposition des outils de transfert et communication sécurisés, mais trop peu d’employés les utilisent. Le jeu peut mesurer votre utilisation de l’outil et vous octroyer récompenses et gloire à votre avatar. Le jeu pourrait vous aider à vous protéger vous-même en vous guidant au travers d’une quête. Il pourrait simuler des exercices de « phishing » ou d’hameçonnage. Ce jeu pourrait vous permettre de jouer avec vos enfants et de les protéger par la même occasion. Le réseau social corporatif passera par le jeu, l’information journalière de l’entreprise, les promotions, les nouvelles compétences, les nouveaux projets (missions, quêtes… etc.).

Vous n’y croyez pas? Pourquoi Clash of Clans, Fornite ou Battle Royal ont-ils autant de succès et rapportent autant d’argent, car ils sont fondés sur ces principes. Vous ne connaissez pas ces jeux? Alors, vous devez en apprendre plus sur la génération formée de vos prochains collaborateurs et collaboratrices.