samedi 12 octobre 2013

Stratégies de serious games pour la cybersécurité de l'entreprise

Pour équiper l'entreprise face aux cybermenaces, le serious game est un instrument tout indiqué par ses capacités de mobilisation du personnel. Néanmoins, la maîtrise d'ouvrage de serious game doit choisir en fonction de la vulnérabilité le type pertinent de serious game : serious video game, "design thinking game" ou "design management game".

L'article en cinq mouvements de pensée : 
  1. Adresser la cybersécurité d'entreprise
  2. Echiquier stratégique de serious game
  3. Un serious video game
  4. Deux "design thinking" games
  5. Un "design management" game
    Auteur : Tru Dô-Khac

    Note de l'auteur :
    Positionnement de quatre serious games sur la cybersécurité, dont Defense Level Agreement



    Sortie officielle : Le Cercle Les Echos, 14 octobre 2013

    Références (accès direct ou en deux clics via ce site pour les articles de ce répertoire) :

    [1] Ouverture des Assises de la sécurité 2013 – Patrick Pailloux : « Priorité aux systèmes industriels » Agence Nationale de la Sécurité de Systèmes d'Information
    [2] Maîtrise d'ouvrage de serious games, un rôle sérieux, Tru Dô-Khac, 25 septembre 2013, Le Cercle Les Echos
    [3] Serious Game Strategic Gameboard, L'entreprise numérique créative
    [4] Sûreté et risques numériques : scénario d’un serious game, Cigref, 2013
    [5] Monopoly est une marque de Hasbro
    [6] Le poker, un serious game, Tru Dô-Khac, Le Cercle Les Echos
    [7] Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques, 3 décembre 2010, Agence Nationale de la Sécurité de Systèmes d'Information
    [8] Defense Level Agreement, un serious game sur la cybersécurité de l'entreprise numérique, Dô-Khac Decision
    [9] Le serious game, un instrument innovant de design management ?, Tru Dô-Khac, 25 mars 2013, Le Cercle Les Echos

    Mots clefs thématiques :

    Intelligence collective :

    Régime d'utilisation :
    • Extraits en accès libre, gracieux et immédiat : sur ce site
    • Reproduction permanente ou temporaire sur réseau social d'entreprise/intranet avec accompagnement professionnel dédié : sous conditions commerciales (contact : Dô-Khac Decision)
    • Autre cas : déterminés par le Code de la propriété intellectuelle, notamment L 122-5.
    • L'accès public à cet article est gracieux. Si vous souhaitez le "privatiser" au delà de ce que permet la L 122-5 notamment en en représentant tout ou partie dans un cercle privé (intranet ou réseau social d'entreprise, d'association,...), merci de prendre contact préalablement.
    Libre : pas d'obligation de déclaration préalable de l'identité et coordonnées du lecteur
    Gracieux : pas de contribution financière demandée
    Immédiat : un seul clic

    17 juin 2014, temporairement sur ce site :  accès libre et gracieux à l'intégralité de l'article 

     Stratégies de serious games pour la cybersécurité de l'entreprise


    Pour équiper l'entreprise face aux cybermenaces, le serious game est un instrument tout indiqué par ses capacités pour mobiliser le personnel. Néanmoins, la maîtrise d'ouvrage de serious game doit choisir en fonction des vulnérabilités le type pertinent de serious game : serious video game, "design thinking game" ou "design management game". 

    L'affaire PRISM/Snowden fera sans doute date dans l'esprit du grand public qui prend soudainement conscience d'un possible traçage à son insu de la vie privée. Mais pour les entreprises, c'est peut être lors de l'édition 2013 des Assises de la sécurité que l'on dira que la sécurité des systèmes d'information (Ang : IT security) d'entreprise s'est mutée en cybersécurité d'entreprise.

    Adresser la cybersécurité d'entreprise

    Lors de l'ouverture des Assises, le directeur général de l’ANSSI a pointé les vulnérabilités numériques de la Nation que sont les systèmes industriels et a rappelé que "le projet de loi de programmation militaire inclut des mesures [devant] permettre à l’État de fixer les règles de sécurité à appliquer aux systèmes critiques [des entreprises] et à vérifier leur niveau de vulnérabilité" [1].

    Pour chaque vulnérabilité, l'entreprise doit identifier les menaces, en apprécier le niveau d'occurrence et les impacts, et imaginer des parades. Une telle analyse est complexe et le dirigeant mande le plus souvent un groupe limité de collaborateurs pour la réaliser. En revanche, pour la mise en œuvre, il lui appartient d'assurer la mobilisation de l'ensemble des collaborateurs de l'entreprise.

    Par ses capacités de sensibilisation, d'information, de formation et d'accompagnement, le serious game est un instrument intéressant.

    Échiquier stratégique de serious game

    Lancé en France en 2009 avec les jeux vidéos à des fins professionnelles, commerciales ou d'entreprise, le concept de serious game a donné naissance à une offre différenciée ; pour s'en rendre compte, il suffit de parcourir les plateaux des expositions professionnelles adressant le serious game pour constater la diversité de l'offre : des dés et cartes à jouer jusqu'aux technologies les plus avancées de réalité augmentée.

    Ce constat apporte la première dimension d'une segmentation de l'offre que nous qualifierons d'intensité technologique ; pour guider la maîtrise d'ouvrage de serious game [2], il y aura trois marches : le matériel, le matériel digitalisé et les technologies numériques avancées. Une seconde dimension sera donnée par le potentiel de transformation de l'entreprise avec trois niveaux, "Local", "Opérationnel" et "Stratégique" [3].

    Pour jouer avec la matrice stratégique réalisée par croisement des deux dimensions, nous proposons de prendre quatre serious games en cybersécurité d'entreprise.

    Un serious video game pour des usages numériques sûrs

    Prenons tout d'abord le projet du Cigref annoncé lors des Assises et dont l'objectif est d'assurer que les collaborateurs de l'entreprise auront les bons comportements individuels "en voyage, dans son entreprise, à son bureau, devant son ordinateur [ou] à son domicile". S'agissant d'inculquer des réflexes comportementaux aux employés de l'entreprise, un video game où le serious gamer pilote des avatars dans les différents décors semble tout indiqué [4]. Le niveau adressé est le niveau "Opérationnel".

    Deux "design thinking games" pour la sécurité des actifs logiciels

    Pour un jeu reposant sur du matériel "sériousé", nous remarquerons un serious game adressant la gestion des licences logicielles. Le design thinking est celui du Monopoly [5] et pour en apprécier la pertinence, il suffit simplement d'observer qu'un logiciel est un actif immatériel.

    Mais si on s'intéresse aux comportements de l'acheteur utilisateur et du vendeur éditeur de logiciels, on peut imaginer recourir au design thinking du poker [6]. Néanmoins, l'utilisation "sérieuse" d'un tel jeu n'est pas immédiate, car il faut y associer une métaphore pertinente entre l'entreprise et le poker ; l'accompagnement humain avec un coach et maître de jeu est déterminant et dès lors, ce serious game se place au niveau "Local".

    Un "design management game" pour la sécurité de l'externalisation

    Enfin, on peut considérer l'annonce d'un serious game sur la sécurité de l'externalisation, un sujet notamment adressé dans un guide publié par l'ANSSI [7].

    Ce serious game propose de coacher les managers de l'entreprise qui négocient les clauses de maîtrise de risque avec les fournisseurs [8]. Il s'agit donc ici de la relation entre deux objets abstraits que sont les personnes morales de l'entreprise cliente et de l'entreprise fournisseur. Dès lors, il faut aller au-delà de la simple "prise" de comportements et d'actions et leur retranscription dans des séquences avec une technologie vidéo. Le ressort du jeu doit reposer sur un design thinking qui devra permettre de représenter différentes options de l'entreprise en gestion des risques : porter, partager ou transférer les risques.

    Le niveau adressé est le niveau "Stratégique" et le jeu, qui porte les desseins de l'entreprise, est un "design management game" [9].


    [1] Ouverture des Assises de la sécurité 2013 – Patrick Pailloux : "Priorité aux systèmes industriels", Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
    [2] Maîtrise d'ouvrage de serious game, un rôle sérieux, Tru Dô-Khac, Le Cercle Les Échos, 25 septembre 2013.
    [3] Serious Game Strategic Gameboard, L'entreprise numérique créative, 9 octobre 2013.
    [4] Sûreté et risques numériques : scénario d’un serious game, Cigref, 2013.
    [5] Monopoly est une marque de Hasbro.
    [6] Le poker, un serious game, Tru Dô-Khac, Le Cercle Les Échos, 4 octobre 2013.
    [7] Externalisation et sécurité des systèmes d’information : un guide pour maîtriser les risques 3 décembre 2010, ANSSI.
    [8] Defense Level Agreement, un serious game pour la cybersécurité de l'entreprise numérique, Dô-Khac Decision.
    [9] Le serious game, un instrument innovant de design management ? Tru Dô-Khac, Le Cercle Les Échos, 25 mars 2013.

    Trophée innovation numérique 2015

    Le Trophée IT Innovation Forum catégorie Enterprise Mobility / Collaboratif a été décerné à l'innovation frugale Personal MOOC par le vote des quelques 200 membres du Club des Responsables d'Infrastructure et de Production (CRIP) lors de l'IT Innovation Forum du 27 janvier.
    Communiqué sur le site de Dô-Khac Decision