Le Cyber-entraînement, concepts et enjeux
Le cyber-entraînement peut se définir comme un savoir-faire acquis par la répétition. L’illustration par le sport ou n’importe quelle pratique artistique est évidente. C’est par la répétition que le « bon geste » devient une habitude, puis un réflexe. Dans le domaine de l’entreprise, cette notion d’entraînement trouve une place naturelle dans les plans de formation. Elle peut se révéler particulièrement efficace avec une mise en situation à la fois concrète et ludique.
L’artiste, l’athlète… et l’expert cyber.
La cybersécurité est un domaine particulièrement réceptif à ce type d’apprentissage. Différents types de jeux permettent ainsi de s’entraîner en illustrant les problématiques de sécurité, que l’on se place du point de vue de l’attaquant ou du défendant (Red team vs Blue Team, War Games, Capture the Flag, Escape Game, etc.). Historiquement, le cyber-entraînement puise partiellement ses origines dans des conventions d’experts ou événements communautaires apparus il y a une vingtaine d’années. Les premiers challenges organisés durant ces assemblées permettaient à des passionnés de se défier et d’échanger leur expertise autour de leur passion commune. Ces événements ont rapidement acquis une notoriété internationale en raison de l’expertise qu’ils concentraient.
Certains corps militaires ont également développé ce type d’exercices pour entraîner leurs effectifs puis de nombreux professionnels dans d’autres secteurs d’activité ont emboîté le pas (industriels, banques, etc.).
Le cyber-entraînement permet aujourd’hui d’adresser un large public, du béotien à l’expert. On peut ainsi envisager cette « gamification » dans de multiples programmes de sensibilisation et de formation en sécurité informatique.
Des efforts qui paient
« J’entends et j’oublie, je vois et je me souviens, je fais et je comprends » A cette pensée de Confucius on serait tenté d’ajouter « je m’entraîne… et je retiens encore mieux ! ». C’est en tout cas le constat établi par plusieurs travaux menés sur la mémorisation au sein d’instituts spécialisés. On observe en fait que la rétention varie considérablement selon la méthode d’apprentissage. Plus le niveau d’implication de l’apprenant est important, plus le pourcentage moyen de rétention après 24h sera élevé.
Dans les années 60, les chercheurs du National Training Laboratories of Bethel (Maine, USA) ont par exemple démontré que le pourcentage moyen de rétention lors d’un mode d’apprentissage « passif » (j’écoute et regarde) ne dépasse guère 30% après une journée. En revanche, on peut atteindre jusque 90% de rétention à l’issue d’un d’apprentissage « actif » (je discute, je pratique, j’utilise immédiatement les notions enseignées). Il est donc admis depuis des décennies que la mise en situation pratique augmente l’efficacité pédagogique.
On constate également que les programmes pédagogiques proposant des exercices sous la forme de jeux ou compétitions (serious game) suscitent davantage d’engouement et d’adhésion de la part des collaborateurs. Il ne s’agit plus d’un énième programme de formation présentielle classique mais d’un événement plus attractif aux yeux du salarié qu’une journée passée à regarder des slides.
L’apprenant est plongé dans un exercice immersif qui lui permettra de faire rapidement le parallèle avec son quotidien. En répétant les bons gestes dans cet environnement familier, il sera peu à peu amené à adopter la bonne attitude et à fournir la réponse adéquate aux futurs incidents et aux problématiques rencontrés dans son activité.
Enfin ces « jeux sérieux » offrent de réelles opportunités pour décloisonner les services et renforcer la cohésion d’équipe selon leur mise en œuvre. Quel que soit le secteur où ils sont employés, le public visé, ils portent leurs fruits avec un réel impact sur la culture cybersécurité au sein de l’entreprise :
- C’est le cas pour des profils plus techniques. Par exemple, à l’issue d’opérations combinant formation théorique et serious game chez des développeurs, on constate à court terme des campagnes de correctif, un rapprochement entre les équipes développement et sécurité. Un véritable changement d’état d’esprit s’installe et encourage à penser « sécurité dès la conception ». A moyen terme les métriques révèlent ainsi une diminution de failles applicatives.
- On observe la même dynamique à la suite d’événements organisés pour des équipes informatiques ou spécialisées dans la sécurité informatique, au cours desquels sont simulées des attaques sur des installations industrielles par exemple.
Outre le gain pédagogique et les bienfaits pour la cohésion d’équipe évoqués précédemment, le cyber-entraînement peut également servir une stratégie sur le long terme. En organisant des événements à grande échelle, certaines entreprises repèrent ainsi au sein de leurs effectifs, les profils avec une appétence ou des aptitudes avérées pour la cybersécurité. Dans un second temps, ces bons élèves sont intégrés s’ils le souhaitent dans une communauté, en charge d’animer à son tour des opérations de sensibilisation ou de challenger les équipes.
Quelques clés pour réussir
Le succès d’un programme de cyber-entraînement dépend de nombreux facteurs :
- Il faut d’abord trouver la formule appropriée à votre cible (événement présentiel sur une ou deux journées, événement en ligne sur une ou plusieurs semaines, qualifications en ligne avec une grande finale en présentiel…).
- Les épreuves doivent ensuite être minutieusement calibrées (calendrier, durée, difficulté, aide, attribution des scores, corrections…).
Les administrations ou grandes entreprises ayant connu plusieurs campagnes de formation et sensibilisation en matière de cybersécurité le reconnaissent, on observe parfois une lassitude voire un décrochage des collaborateurs si le même dispositif est constamment employé. Il est parfois nécessaire de garder le message, mais changer l’enveloppe.
En identifiant le bon partenaire, le cyber-entraînement sera le dispositif idéal pour innover et renouveler des plans de formation. Certains prestataires sont en mesure de proposer des événements clés en main répondant aux contextes les plus exigeants, les plus pertinents démontreront souvent deux qualités supplémentaires : de la créativité… et une pointe de fun. Ainsi le programme collera au contexte professionnel et suscitera davantage l’adhésion auprès des collaborateurs.