Cybergod, le serious game d’acculturation à la cybersécurité
- Comment sensibiliser tous les responsables de la sécurité des systèmes d’information du groupe Bouygues, répartis sur plusieurs sites partout dans le monde, aux bonnes pratiques de cybersécurité ?
Demande
- Un serious game sur le thème de la cybersécurité, avec une expérience immersive et en temps réel a permis d’engager les collaborateurs dans une nouvelle démarche vertueuse.
Resultat
L’acculturation à la cybersécurité chez Bouygues
Quel que soit le secteur, la cybersécurité est aujourd’hui au cœur de toutes les entreprises. En effet, malgré que les entreprises soient de mieux en mieux protégées (avec une augmentation du budget dédié de 39% en 2019), les cyberattaques se font de plus en plus régulières et agressives, multipliant par 6 le coût moyen pour les entreprises.
Sujet pilier pour toutes les entreprises du groupe Bouygues, rien n’est laissé au hasard. Chaque année, l’ensemble des RSSI de ses différentes filiales se rassemblent autour d’un évènement d’envergure sur le thème de la cybersécurité au sein du groupe. Pour l’édition 2019, un des objectifs clé était de sensibiliser tous les RSSI du groupe aux bonnes pratiques en matière de cybersécurité. Un enjeu stratégique pour l’entreprise qui a sollicité initialement Blackfoot pour créer une présentation dynamique, engageante et enrichissante.
L'employé
L'expert
Le hacker
La RH
Le stagiaire
Le VIP
Une expérience gamifiée pour engager les Responsables des Services Informatiques proposée par Blackfoot
L’expertise de Blackfoot en développement d’applications et d'expériences vidéoludiques a permis d’aller plus loin que la demande initiale et de créer un serious game sur le thème de la cybersécurité.
En proposant une expérience immersive participative, le serious game permet d’aller au delà d’une simple formation à la cybersécurité en favorisant l’action à la passivité, permettant ainsi une excellente mémorisation. Une réelle valeur ajoutée lorsqu’il s’agit de diffuser des pratiques essentielles pour la sécurité du groupe Bouygues.
Un serious game responsabilisant, reflétant la complexité de la cyberrésilience
Le serious game simulait une attaque informatique sur l’ensemble des filiales du groupe Bouygues, menée en temps réel par un hacker. Tout au long de l’expérience, les RSSI étaient invités à voter et agir par le biais d’une application pour protéger les infrastructures de la cyberattaque, quitte à prendre des décisions difficiles afin de refléter la complexité de ces situations, parfois sans issues favorables.
Il leur était en effet demandé de prendre une décision binaire pour chaque situation, décision influant trois jauges à garder en équilibre : la sécurité, la charge de l’équipe Cyber et le budget. Attention, chaque jauge devait rester dans la moyenne : une jauge sécurité au maximum semble être une bonne idée, mais risque d’amener les employés à chercher des solutions alternatives pour contourner la sécurité trop importante qui leur est imposée, par exemple.
Un MVP éclair
Pour répondre aux objectifs et contraintes temporelles du groupe Bouygues, le challenge était de réaliser le projet en seulement quelques semaines.
Organisé autour de 3 ateliers, les équipes de GameDesign ont travaillé avec les RSSI du groupe afin de faire émerger un récit cohérent, basé sur des attaques réelles et concrètes. Les solutions apportées lors de l'événement ont d’ailleurs parfois différé de la réaction des équipes lors de la menace réelle !
Fort de cette entrée en matière dans le day to day d’une équipe cyber, Blackfoot a fait émerger une quinzaine de situations auxquelles confronter les collaborateurs Bouygues, formant ainsi le fil rouge de l'expérience.
Inspiré du jeu Reigns pour la prise de décision, l’application temps réel à été réalisée sur Unity, profitant ainsi de la puissance du moteur de jeu.
Une réussite pour le Groupe Bouygues mais également pour Blackfoot
Après l'événement, les retours des différents participants ont fait de ce serious game une expérience réussie. 130 votes plus tard et après plus de 100 collaborateurs touchés à travers 10 équipes, l’outil semble même être attractif pour présenter des situations complexes à un COMEX et ainsi le sensibiliser aux problématiques de cybersécurité. C’est également une riche base de données des décisions prises par les différentes équipes, permettant ainsi de focaliser les formations futures sur les sujets clés de la sécurité des systèmes.