Faites vos jeux ! – Partie 1/2

Comment sensibiliser une population d’informaticiens aux enjeux de la sécurité sans répéter pour la énième fois les mêmes contenus et jouer au Cassandre en prédisant les pires cyber-fléaux à venir ? Par le jeu !

La sensibilisation des informaticiens (DevOps, analyste fonctionnel, chef de projet, architecte, manager) est essentielle pour embarquer la nécessaire sécurité « by design » dans les développements logiciels.

Se pose alors la question de la forme. Comment communiquer de façon efficace ? Sans rabâcher des généralités ou sans reprendre des cas emblématiques vus dans la presse, mais qui ne concernent pas forcément notre entreprise. D’ailleurs, comme pour l’obsolescence, les discours généralistes et alarmistes ne portent plus.

Dans notre entreprise, nous avons constaté deux freins principaux au traitement des vulnérabilités.

D’une part, les enjeux de la sécurité informatique ne sont pas toujours entendus par la maîtrise d’ouvrage/d’œuvre pour de pragmatiques raisons de productivité, de simplicité et de rapidité. « L’expérience utilisateur » est souvent préférée à des contraintes sécuritaires, ce qui relègue les evil user stories sécurités des NFR (Non Functional Requirements) dans des MVP (Minimum Viable Product) éloignés et rarement implémentés pour cause de dépassement de budget/délai. Il est regrettable que les études ROSI (Return On Security Investment) percolent rarement au niveau des équipes opérationnelles [1].

D’autre part, la population de développeurs, souvent jeune et volatile, n’est ni suffisamment sensibilisée aux risques ni correctement formée aux bonnes pratiques de développement (OWASP…).

Partant de ces deux écueils, et compte-tenu de la relative efficacité des formations sécurité « top-down », nous avons réfléchi à deux approches innovantes pour intéresser ces populations :

  • raconter des incidents sécurité réels qui ont vraiment touché la population visée ;
  • animer un atelier avec un jeu de cartes original et fun.

1. Le point de départ

Jusqu’à présent, dans notre société, la sensibilisation à la sécurité informatique passait principalement par un module de formation périodique et obligatoire pour tous les salariés.

Les acteurs métiers et les experts dans leur domaine respectif étaient accueillis dans un amphithéâtre pour une présentation magistrale de deux heures. Les recommandations et les bonnes pratiques en matière de sécurité des systèmes d’information ainsi que les mesures d’hygiène informatique leur étaient présentées.

Le contenu était pertinent, mais le public n’était pas réceptif. Le format était trop statique, trop long ; seul le présentateur parlait. Le public étant trop hétérogène, le fond était toujours trop technique pour des commerciaux, mais insuffisamment détaillé pour une population de développeurs. Quel compromis trouver ? 

Les questions/réponses se transformaient régulièrement en réquisitoire contre la sécurité, grand empêcheur de tourner en rond et frein notoire à l’innovation (« comment puis-je innover si vous bannissez l’usage des clés USB ?! » ).

2. Ça n’arrive pas qu’aux autres

Fort de ce constat, nous avons eu l’idée de créer un module dédié aux populations SI. Notre objectif n’est pas de les former aux bonnes pratiques de développement. Pour cela, il existe d’excellentes formations ad hoc. Il s’agit de les sensibiliser aux risques et aux enjeux de la sécurité des SI. Finalement, pourquoi accordons-nous autant d’intérêt à la sécurité ?

L’appropriation d’un problème est généralement la première étape indispensable : se sentir concerné, être personnellement impliqué dans son métier afin de comprendre l’importance du sujet.

Nous avons donc compilé différentes attaques informatiques dont nous avions été victimes ces deux dernières années afin de construire une présentation rythmée d’une heure. Il s’agit d’attaques avérées sur des applications métiers, avec des impacts visibles, des causes identifiées (non patching, mot de passe faible, etc.) et des scénarios d’attaques variés (DDoS, defacing, PC zombie sur le réseau, fraude, phreaking…). De quoi trouver un écho évident dans leurs activités quotidiennes.

Il s’agit d’une « approche par les incidents » à opposer de « l’approche par les règles » exposée au chapitre précédent.

Le slogan « ça n’arrive pas qu’aux autres » combiné au fameux « de grands pouvoirs impliquent de grandes responsabilités » cher à Spiderman se révèle très efficace, surtout si la présentation est conduite avec humour et qu’elle est mise en scène. N’importe qui disposant d’un accès à privilèges (DevOps, Administrateur, DBA…) est alors à même de mesurer l’impact qu’a son activité sur toute la chaîne de sécurité. 

La proximité des incidents avec leur expérience se prête bien aux questions/réponses.

À l’issue de cette présentation, les populations SI sont toutes ressorties avec un nouveau regard sur les questions de sécurité. Elles ont mesuré la nécessité d’adopter des mesures préventives au regard des attaques que nous subissons : « nous ne savions pas que vous faisiez tout cela ! » est régulièrement entendu.

C’est la première fois que nous communiquons en interne de façon aussi transparente sur les incidents de sécurité. D’habitude, nous étions très discrets sur la réalité des chiffres et des applications impactées. C’est donc un changement culturel important pour nous, mais qui permet de frapper les esprits. Beaucoup de gens découvrent cette réalité… et c’est bien l’effet attendu.

Cette présentation n’est qu’une première étape de sensibilisation à la sécurité. Ensuite, nous les incitons à s’inscrire à des formations plus ciblées ou à  participer au CTF (Capture The Flag) que nous organisons en interne.

Cette courte sensibilisation, allégée de ses détails techniques, est également faite à des équipes de direction métier. Le succès est aussi toujours au rendez-vous.

3. Gamification, humour et questionnement

La deuxième idée est de sensibiliser notre public par le jeu ! Nous avons profité d’une « grande messe » réunissant toute la communauté SI pour lancer un nouveau jeu. Pour cette occasion, notre CERT disposait d’un stand équipé de cinq tables hautes.


Les 6 personnages « bleus » défense

  • Chef de projet
  • Manager
  • Architecte
  • Analyste sécurité
  • DevOps
  • SOC : Security Operation Center


La gamification est un moyen très efficace pour attirer les visiteurs sur un stand et les sensibiliser tout en les impliquant activement. En général, ils repartent ravis et retiennent mieux les messages, même après un passage d’une dizaine de minutes seulement.

Nous avons choisi un jeu de 42 cartes (of course), où deux joueurs (incarnant respectivement une équipe de white hats et de black hats) vont s’affronter via un système de cartes offensives ou défensives (les cartes outils).

« Chef de projet : personne qui pense naïvement que repousser les NFR sécurité va lui faire gagner du temps »

Le principe est simple et ressemble à un jeu de bataille en trois manches. Vous l’avez compris, notre approche se veut pédagogue et ludique, basée surtout sur des textes humoristiques, sur le plaisir de jouer et le questionnement que suscite inévitablement chacune des cartes (notamment les caractéristiques et le type de défense/attaque).

Pierre RAUFAST
Manager du CERT Michelin  – pierre.raufast@michelin.com

La seconde partie de cet article sera publiée prochainement sur le blog, restez connectés 😉

Retrouvez cet article (et bien d’autres) dans MISC n°91, disponible sur la boutique et sur la plateforme de lecture en ligne Connect !