Selon les résultats d’un test effectué à l’aide de l’outil « Kaspersky Gamified Assessment Tool » auprès de 3907 employés, seuls 11% d’entre eux ont démontré d’excellentes compétences en termes de sensibilisation à la cybersécurité. Les sujets les moins qualifiés ont commis la plupart de leurs erreurs au niveau de la navigation sur internet.
Mesurer les cyber-compétences des employés
90% des personnes surestiment leurs capacités en matière de cybersécurité, et c’est sur la base de ce constat que Kaspersky a développé le « Gamified Assessment Tool » : non seulement pour modifier le comportement des employés et les sensibiliser, mais aussi pour aider les responsables des systèmes IT et des services des ressources humaines à mesurer les cyber-compétences des employés et à proposer à leurs équipes des outils éducatifs pertinents.
Au cours du test, les employés reçoivent des points en fonction des décisions qu’ils prennent dans des scénarios de situations courantes, qu’il s’agisse de travail à distance (à domicile comme en déplacement), ou de travail au bureau. Il leur est ensuite demandé d’évaluer si leurs actions comportent des risques cyber, et dans quelle mesure ils ont confiance dans leurs choix.
Un test qui couvre 6 domaines de sécurité
Un participant sur dix (11%) a réussi à obtenir un certificat d’excellence, décerné à ceux ayant donné des réponses correctes et obtenu plus de 90 % de bonnes réponses.
La plupart des utilisateurs (61%) ont obtenu un résultat « moyen », avec des scores allant de 82 % à 90 % des points, tandis que 28% des répondants ont démontré un manque de connaissances en cybersécurité, en enregistrant des scores inférieurs à 75% de réponses positives.
Les joueurs doivent choisir le jeton vert s’ils pensent que le scénario est sûr, ou le jeton rouge s’ils pensent qu’il comporte des risques. Le nombre de jetons utilisés indique le degré de confiance qu’ils ont dans leur réponse.
Le « Gamified Assessment Tool » couvre six domaines de sécurité : mots de passe et comptes, mails, navigation sur Internet, messageries et réseaux sociaux, sécurité des ordinateurs et protection des appareils mobiles. Les questions liées à la navigation sur le Web sont celles qui posent le plus de problèmes aux internautes, avec moins d’un quart des répondants (24%) ayant correctement défini les actions à mener. Les scénarios liés aux appareils mobiles étaient les moins complexes: 43 % des employés n’ont fait aucune erreur en identifiant les cyber-risques encourus dans ces scénarios.
Identifier la nécessité d’une formation supplémentaire
“Le Gamified Assessment Tool fait partie de la phase de “mobilisation” de notre portfolio de Security Awareness (sensibilisation à la sécurité). Le jeu précède la formation dans la Automated Security Awareness Platform de Kaspersky, permettant aux employés de mieux cerner l’intérêt de se former à la cybersécurité. L’outil permet aussi aux organisations de déterminer quel programme éducatif correspond le mieux aux besoins spécifiques de leurs employés. » commente Alexander Lunev, Product Manager, Security Awareness & Academic Affairs chez Kaspersky.
Il ajoute : « Cependant, même si quelqu’un obtient le meilleur résultat possible dans le jeu, cela ne signifie pas que ce dernier n’a pas besoin d’une formation avancée supplémentaire, ou d’une actualisation des connaissances de temps en temps. En effet, les méthodes des agents malveillants peuvent évoluer, et la vigilance d’une personne peut faiblir. C’est pourquoi nous veillons également à ce que les modules d’apprentissage et d’approfondissement des connaissances proposés dans notre produit soient intéressants pour tous les apprenants, quel que soit leur niveau. »