Le service IT vous a inscrit à une formation en cybersécurité. À quoi vous attendez-vous lorsque vous cliquez sur le lien ? Des diapositives sur la façon d'éviter les spams ? Un tutoriel vidéo, si vous avez de la chance ?
De nos jours, les gens n'attendent pas grand-chose d'une formation en cybersécurité. A croire qu’on n’est pas au courant de ça.
Chez Riot, nous nous sommes donné pour mission de proposer des cours de cybersécurité interactifs que les gens aiment réellement suivre. Nous partageons ici notre processus en cinq étapes pour rédiger des cours qui obtiennent un taux de complétion de plus de 91 % parmi nos apprenants et nous vous emmenons même dans les coulisses de notre cours sur les deepfakes.
Notre première étape ? Toujours commencer par une bonne histoire.
#1 : Commencez par raconter une belle histoire
Qu'est-ce qui vous vient à l'esprit lorsque vous pensez à la découverte de la loi de l’attraction universelle par Isaac Newton ?
Bingo, la pomme.
Que l'histoire de Newton regardant une pomme tomber d'un arbre soit vraie ou non, elle nous apprend quelque chose d'important : les humains apprennent grâce aux histoires. Nous pourrions simplement dire « Newton a formulé une théorie de l’attraction universelle », mais l'image d'une pomme qui tombe s'inscrit beaucoup plus clairement dans notre esprit.
Comprendre comment de telles histoires peuvent nous aider à apprendre est essentiel à toute formation de qualité. C'est pourquoi nous structurons chacun de nos cours de cybersécurité autour d'une histoire captivante.
Prenons l'exemple des mots de passe. Au lieu de simplement apprendre aux gens à définir des mots de passe forts, nous explorons l'incident SolarWinds de 2019, où il a été découvert qu'un stagiaire avait utilisé « solarwinds123 » comme mot de passe pour protéger l'accès à un serveur critique et l'avait même rendu public sur GitHub.
Les histoires de ce type rendent les sujets vivants. Ici, nous mettons l’employé dans la peau de l'équipe informatique de SolarWinds, du PDG et même du pauvre stagiaire lui-même. Cela permet de rendre nos conseils beaucoup plus marquants et applicables, et d'aider chacun à être plus en sécurité.
En savoir plus : Votre formation cyber old school ne fait qu'aider les hackers - Voici 4 conseils pour l'améliorer
#2 : Engagez la conversation
Les gens apprennent en pratiquant. Au lieu d’un apprentissage à sens unique comme dans une salle de classe, nous réagissons beaucoup plus positivement lorsqu’on nous demande de nous engager activement dans l’apprentissage, de tester sous différents angles et d’offrir nos propres réflexions, opinions et réponses.
C'est pourquoi nous faisons de chacun de nos cours une véritable conversation. Nous donnons aux employés la possibilité d'examiner les histoires et les techniques qui leur sont présentées, puis de suggérer la bonne réponse aux menaces et aux situations réelles de cybersécurité auxquelles ils peuvent être confrontés chaque jour.
Par exemple, au lieu de simplement mettre en garde les apprenants contre les hackers qui utilisent des imitations de synthèse (deepfakes) alimentées par l'IA pour générer la voix ou la ressemblance de quelqu'un et tromper leurs collègues en leur faisant transmettre des données sensibles, nous testons leur capacité à faire la distinction entre un échantillon de voix réelle et une imitation que nous avons générée.
Et parce qu'une bonne conversation se fait dans les deux sens, nous créons des cours avec de la personnalité. Nous voulons que les gens aient l'impression d’échanger avec une vraie personne lorsqu'ils discutent avec Albert, quelqu'un d'intéressé, d'intéressant et peut-être même agaçant de temps en temps. Comme une vraie personne.
#3 : Rendre chaque module de cours pertinent
Nous avons tous été confrontés un jour ou l'autre à une formation ennuyeuse ou généraliste. Vous ouvrez un PDF ou une série de diapositives, vous commencez à lire et... ça n'en finit pas. Non seulement c'est trop long, mais il n'y a aucun effort pour faire correspondre ce que vous apprenez aux véritables défis et problèmes auxquels vous êtes confrontés chaque jour.
Nous sommes convaincus que les employés méritent une meilleure formation en cybersécurité. C'est pourquoi nous faisons en sorte que chaque module de nos cours soit constamment adapté à l'expérience de l'apprenant, en distillant un large éventail d'informations sous forme de conversations percutantes de cinq minutes maximum, pleines d'astuces et de conseils pratiques.
Cela concerne nos cours qui s’adaptent selon l'industrie, sur des sujets tel que le RGPD et la loi HIPAA. Et comme le paysage est en constante évolution, nous mettons régulièrement à jour ces cours afin d'y intégrer les informations les plus récentes.
Nous personnalisons également nos cours pour y intégrer des détails spécifiques à l'apprenant, ce qui rend l'expérience de formation encore plus pertinente. C'est pourquoi nos scénarios de fraude au PDG insèrent le nom du véritable PDG de l’employé, ce qui permet d’imaginer plus facilement ce à quoi ces e-mails pourraient ressembler dans la réalité.
Notre fonctionnalité « Nudges » permet également de délivrer rapidement des cours de remise à niveau basés sur les dernières actualités en matière de cybersécurité, et cela grâce à l'IA générative. Il suffit de donner un article à Albert (par exemple, l'attaque du ransomware MGM) pour qu'il le transforme en une nouvelle conversation offrant des conseils sur la façon dont votre équipe peut se protéger d'attaques de ce type (premier conseil : n’énoncez pas vos identifiants de connexion par téléphone !)
Et à propos de travail d'équipe...
#4 : Faire de la cybersécurité un sport d'équipe
Lorsque l'on parle de cybersécurité, on pense aux outils et aux systèmes : réseaux sécurisés, cryptage des données, authentification multifacteur. Bien que tout cela soit important, l'accent mis sur la technologie ne donne pas une image complète de la façon dont la plupart des cyberattaques se produisent dans la réalité.
La vérité, c'est que les employés constituent la plus grande vulnérabilité de chaque entreprise en matière de cybersécurité. Il suffit de citer que 74 % des 5 199 atteintes à la protection des données aux États-Unis en 2023 venaient d’une d'erreur humaine. C'est pourquoi nos cours font de la cybersécurité un sport d'équipe, en développant une culture cyber au niveau de l’entreprise.
Plus votre équipe sera sensibilisée et familiarisée avec les principales menaces actuelles en matière de cybersécurité, dont le spear phishing et la fraude au PDG, plus vous aurez de chances de rester en sécurité, au niveau de votre organisation. Mais pour développer cette culture cyber d’entreprise, vous devez proposer la bonne expérience d'apprentissage.
C'est pourquoi nous facilitons la personnalisation et le déploiement de programmes adaptés à différentes cohortes, en vous donnant une vue d'ensemble claire des progrès de chacun et en soulignant les domaines dans lesquels les employés ont besoin d'un soutien supplémentaire. Cela vous aide à faire de la cybersécurité une habitude, plutôt qu'une autre formation annuelle de conformité.
Maintenant que votre équipe a tout appris sur la cybersécurité, il est temps de la mettre à l'épreuve.
#5 : Tester vos employés avec des simulations de phishing ultra réalistes
Apprendre les meilleures techniques est une chose, mais les mettre en pratique en est une autre. C'est pourquoi nous secondons nos cours de cybersécurité de simulations de phishing ultra réalistes afin de vérifier si les employés ont réellement amélioré leur culture cyber.
Ces simulations sont tout aussi convaincantes que les vraies, avec une gamme de modèles et de prétextes pour tester votre équipe en toute sécurité. Qu'il s'agisse de fausses factures ou de listes de leads alléchantes, ou encore de comptes suspendus, nous vous donnons de nombreux moyens d'inciter les gens à cliquer.
Nous facilitons l'exécution de ces simulations tout au long de l'année, en suivant les réponses de l'équipe et en repérant les personnes qui pourraient avoir besoin d'un soutien supplémentaire. Notre fonctionnalité de « groupes intelligents » vous permet également d'effectuer des simulations pour des employés spécifiquement ciblés et de suivre leurs progrès, ce qui vous permet de voir les améliorations en temps réel.
Si vous êtes prêt à lancer votre propre simulation, vous pouvez le faire gratuitement ici. Voyons maintenant comment nous mettons ces cinq étapes en pratique dans notre cours sur les IA deepfakes.
Étude de cas : Comment nous avons construit notre cours sur le deepfake alimenté par l'IA
Comme beaucoup de nos cours sur la cybersécurité, notre cours sur l'utilisation des deepfakes basés sur l'IA est né d'une demande d'un client. Nous encourageons toujours nos clients à nous faire savoir s'ils souhaitent qu'un sujet soit ajouté à notre bibliothèque, et nous adorons créer ces nouveaux modules.
Il s'est avéré que cette demande était opportune : Nous avions également remarqué une augmentation du nombre d'arnaques utilisant des modèles d'IA générative afin de se faire passer pour des collègues, des membres de la famille, ou même des patrons des victimes, et nous voulions donner aux employés les connaissances et outils nécessaires pour se protéger de ces menaces.
Avant de commencer à écrire quoi que ce soit, nos auteurs de cours Ben (CEO) et Tom (Responsable du Contenu) se sont beaucoup documenté sur le sujet, rassemblant tout ce qu'ils pouvaient sur l'histoire de la technologie deepfake, et comprenant les usages sophistiqués des hackers.
Ensuite, nous avons dû choisir une histoire pour lancer le cours. Et nous avons trouvé l'histoire parfaite : La famille Perkin, qui a été escroquée au début de l'année 2023 par un hacker qui s'est fait passer pour leur fils, au moyen d'un faux appel, prétendant être en prison et demandant de l'argent avant une comparution devant le juge.
À partir de là, nous avons élaboré une conversation avec Albert sur tous les marqueurs clés d'une escroquerie par deepfake, y compris les principaux signaux d'alarme à surveiller (scénarios urgents, demandes de bitcoins) et les conseils pour rester en sécurité (contacter la personne par un canal alternatif, se mettre d'accord sur un code de sécurité à l'avance). Et, bien sûr, nous avons fait en sorte qu'il ne dépasse pas les cinq minutes.
Et pour donner vie à notre cours de deepfake, nous avons même généré des modèles de voix d'IA pour Barack Obama (et pour nos apprenants français, de Johnny Hallyday) afin de tester l’employé en lui montrant à quel point ces deepfakes peuvent être convaincants.
Pour la partie production, Ben et Tom ont travaillé avec notre équipe d'ingénieurs pour que le cours s’intègre parfaitement dans Teams, Slack et notre propre interface web. Nous avons traduit le cours en anglais, français, coréen, italien, allemand, chinois, japonais, espagnol, néerlandais et en portugais, afin que les employés du monde entier puissent profiter de cette nouvelle conversation avec Albert.
Et voilà : Un nouvel ajout à notre bibliothèque de cours ludiques et intéracifs sur la cybersécurité ! Désormais, nous aidons plus de 500 000 collaborateurs à être plus conscients des dangers des deepfakes et nous espérons contrer quelques hackers dans leur élan.
En parlant d’arrêter les hackers, consultez notre checklist gratuite sur 12 indicateurs clés en cybersécurité – et comment les utiliser pour améliorer la protection de votre entreprise.
Votre équipe mérite de meilleurs cours en cybersécurité
Pendant des années, les gens ont toléré des cours de cybersécurité généralistes qui ressemblaient à n'importe quelle autre formation de « conformité ». En réalité, les hackers comptaient là-dessus : ils savent que la plupart des formations à la cybersécurité sont ennuyeuses et que nous ne nous en souviendrons jamais.
Aujourd'hui, nous renversons tout cela. Avec Albert, vous pouvez découvrir ce que nos clients savent déjà : Des cours de cybersécurité personnalisés et interactifs peuvent non seulement assurer la sécurité des utilisateurs en ligne, mais aussi être percutants et (osons le dire) amusants.
Et parce que la cybersécurité est un sujet qui nécessite de rester constamment en alerte, notre plateforme permet à toute votre équipe de rester sur ses gardes grâce à des formations courtes, axés sur l'actualité, et grâce à des simulations de cybermenaces.
Pour découvrir par vous-même notre approche différenciante de formation en cybersécurité, contactez l'un de nos experts dès aujourd'hui.
