Cyber Escape Room maintient la conscience de sécurité des employés enfermée
Français
Vous pourriez dire que je suis un peu fanatique des salles d’évasion.
Depuis 2015, je me suis échappé avec succès d’un sous-marin en train de couler, d’un coffre-fort (après l’avoir volé, bien sûr), du laboratoire du Dr Jekyll et d’un repaire de magicien.
Malheureusement, mon bilan est loin d’être parfait. J’ai aussi été maudit par une sorcière, bombardé par des avions de guerre ennemis, écrasé dans une collision dans une voiture de métro et assassiné par des psycho-tueurs à trois reprises.
Mais s’il y avait un jeu d’évasion conçu pour moi, c’était «CriticalMass» – une salle d’évasion virtuelle sur le thème de la cybersécurité conçue pour former les employés de l’entreprise à être plus sûrs en évitant les e-mails de phishing, en gérant les données de manière responsable et en sécurisant leurs réseaux.
L’intrigue: identifier et capturer une menace interne au sein de votre organisation avant qu’elle ne soit en mesure de détourner les fonds de paie.
CriticalMass est la première de plusieurs entrées dans la série «CyberEscape Online» créée par Living Security, une société de formation à la sécurité basée à Austin, au Texas, fondée en 2017 par la PDG Ashley Rose et son mari, le créateur de sensibilisation à la sécurité, Drew Rose.
Les Roses ont tous deux travaillé auparavant dans une société de fiducie d’investissement immobilier, American Campus Communities (ACC), où Drew, en tant que responsable de la sécurité de l’information, a été chargé de créer un programme de sensibilisation à la sécurité interne. C’est à cette époque que lui et Ashley se sont inscrits dans une salle d’évasion locale pour une soirée amusante. Cela a finalement servi d’inspiration.
“[Drew] est revenu et il s’est dit: “ Il y a tellement de principes de cybersécurité mélangés dans cette salle d’évasion. Vous essayez d’aimer les crochetage et la résolution de problèmes et il y a le cryptage », a déclaré Ashley Rose, dans une interview avec SC Media.
M. Rose a immédiatement entrepris de créer une salle d’évasion entièrement sur papier comme exercice de formation à la sécurité pour les employés de l’ACC. Mme Rose, qui occupait un rôle de marketing chez ACC, a collaboré à l’effort.
«Je l’ai aidé à créer tous ces différents kits d’évasion», a déclaré Mme Rose. «Nous devions fabriquer 100 de ces choses, car chaque fois que vous les parcouriez, vous deviez tout jeter.»
Les commentaires des collègues étaient exubérants. «Et c’est vraiment à ce moment-là que cette ampoule s’est éteinte, et ça a cliqué: Wow, si nous pouvons donner envie aux gens de suivre une formation en cybersécurité, alors nous faisons quelque chose de mieux. Nous faisons quelque chose qui peut vraiment changer les comportements », a poursuivi Mme Rose.
C’est ainsi qu’est né le concept de Living Security. The Roses a formé l’entreprise avec pour mission de créer un programme de formation à la sécurité qui englobe des concepts tels que la gamification et l’apprentissage expérientiel comme moyen de réduire les risques humains grâce à un changement de comportement.
Avec les programmes d’entraînement normaux, «En général, vous cochez une case; il y a PowerPoint, il y a des questions et réponses et [you’re] fait », a déclaré Mme Rose. Mais en introduisant des éléments de plaisir et de compétition aux employés, «vous les amenez en fait à changer complètement leur mentalité et à changer leur façon de penser la sécurité. [So] ils considèrent l’équipe de sécurité comme un ami et un allié, et c’est quelque chose de positif par rapport à «pas d’équipe» ou aux personnes qui veulent les empêcher de faire leur travail. »
En fait, Living Security a déclaré à SC Media que 90% des participants aux salles d’évasion interrogés ont déclaré qu’ils se sentaient désormais plus à l’aise pour contacter leur équipe de sécurité après avoir suivi l’exercice de formation.
Mastercard fait partie des entreprises qui utilisent le contenu immersif des salles d’évasion de Living Security pour former ses employés du monde entier.
«Nous avons amené une équipe compétitive à la séance, il était donc facile de rester engagé. Nous ne voulions manquer aucun indice », a déclaré Amanda Gioia, vice-présidente de la gestion des risques technologiques chez Mastercard. «L’histoire était convaincante, et notre équipe courait contre la montre pour avoir le meilleur score par rapport aux autres équipes du classement. Chacun de nous a appris quelque chose de chaque défi lié à la sécurité, et plus les uns sur les autres et sur la manière dont nous abordons les défis. »
À l’origine, Living Security concevait des salles d’évasion physiques, expédiant en fait des valises d’accessoires aux clients et même en volant dans des hôtes pour former les responsables des programmes de sécurité des entreprises à organiser des exercices dans leurs organisations. Mais comme tant d’autres organisations, Living Security a été contraint de pivoter après les verrouillages forcés du COVID-19 en mars dernier.
«Plus de 50% de nos clients ne pouvaient pas utiliser notre solution, et maintenant tous leurs utilisateurs étaient à la maison et exposés à des risques encore plus grands et différents qu’ils ne l’étaient au bureau», a déclaré Mme Rose. «Nous devions donc trouver un moyen de les former et de les impliquer dans la sécurité pendant qu’ils sont à la maison.»
En l’espace de six semaines, les équipes d’ingénierie et de logiciels de Living Security ont conçu une version virtuelle basée sur Zoom de leur programme d’évasion et l’ont mise sur le marché. Même une partie du contenu de la leçon a changé pour refléter les réalités actuelles du travail à domicile. «Je pense qu’en fin de compte, nous serions tous arrivés ici [anyway] parce que les entreprises sont mondiales et que vous assistiez à ce passage à des effectifs à distance, même avant le COVID », a noté Mme Rose.
Rencontrez les ninjas de la sécurité SC
Mais qu’en est-il de la trace de SC Media sur le personnel de crack des journalistes? Pouvons-nous relever le défi?
Étant donné que la salle d’évasion sert également d’exercice de consolidation d’équipe, il était logique d’inviter plusieurs de mes collègues SC Media à jouer à mes côtés. Peut-être étais-je généreux… ou peut-être que je cherchais juste un bouc émissaire à blâmer au cas où nous perdrions.
La première étape a été de trouver un nom d’équipe. Alors sans plus tarder, je vous présente les ninjas de la sécurité du SC: les journalistes Bradley Barth, Derek Johnson, Joe Uchill et Steve Zurier.
On nous a ensuite montré une vidéo décrivant la situation: un détective nous avertit qu’un employé de notre entreprise imaginaire détourne des fonds de paie.
«Voici la partie folle: il y a des dizaines de personnes dans les organisations qui peuvent saisir un décaissement de paie», dit le détective. (Leçon numéro un: le manque d’accès privilégié est mauvais.) Nous avons 40 minutes pour éteindre l’ordinateur portable non autorisé. «Vous allez devoir travailler en équipe ou tout cela pourrait mal tourner», dit-il.
“Très bien, comment nous sentons-nous?” notre animateur de jeu en direct, Dany Mares, nous a demandé immédiatement après l’intro vidéo.
«Très stressé», a déclaré Johnson.
«Ma tension artérielle augmente», a déclaré Zurier.
Et avec cela, l’horloge a commencé à tourner.
Pour gagner, les ninjas de la sécurité ont dû débloquer une série d’énigmes en répondant correctement à diverses questions liées à la sécurité, telles que la définition d’une menace interne. Répondre correctement à une question ouvrirait un nouveau puzzle ou un nouveau jeu. Bien que le jeu ne fonctionne pas exactement comme une salle d’évasion en personne, il comporte bon nombre des mêmes éléments – une mission fictive à enjeux élevés, une limite de temps, un classement pour comparer les temps gagnants et des indices et des énigmes qui doivent être résolu pour avancer.
Les salles d’évasion de Living Security ont le choix entre plusieurs scénarios et les exercices sont personnalisables en fonction des concepts de sécurité qu’une entreprise souhaite mettre en valeur, tels que le phishing ou les menaces internes.
«Nos clients aiment vraiment personnaliser l’expérience en fonction de leur culture», a déclaré Mme Rose. «Nous avons différents scénarios qui correspondent à ces concepts de niveau macro au plus haut niveau, puis nous avons des sous-concepts… qui sont cuits dans les énigmes.» Les entreprises peuvent également personnaliser les questions pour intégrer leurs propres politiques internes.
L’une des énigmes était un exercice de phishing dans lequel les stagiaires devaient identifier la raison pour laquelle certains e-mails étaient classés comme une menace de phishing, en cliquant sur les indices révélateurs qui les rendaient suspects, tels que des fautes de frappe ou une adresse d’expéditeur incorrecte. (Dans une histoire similaire, j’ai récemment été mis au défi de répondre à un quiz dans lequel je devais faire la différence entre les e-mails de phishing et les e-mails authentiques. Voyez comment j’ai fait ici.)
Un phénomène intéressant, a déclaré Mme Rose, est que souvent les employés qui ne sont pas sûrs de repérer les e-mails de phishing obtiennent des conseils de sécurité de leurs propres collègues qui connaissent la réponse. «Ils sont vraiment intrigués et intéressés par ce que fait le reste de l’équipe. Alors maintenant, vous n’apprenez pas seulement de la formation, mais vous apprenez les uns des autres. Vous mettez donc les gens dans le rôle d’un enseignant », a déclaré Mme Rose. «C’est un apprentissage plus actif que de simplement regarder passivement quelque chose et cela implique vraiment tout le monde», dit-elle.
Dans un autre cycle, les ninjas de la sécurité SC ont utilisé un manuel d’entreprise trouvé dans notre casier de preuves numériques pour rechercher les règles de classification des données de notre entreprise afin de déterminer quelles données d’entreprise étaient autorisées à partager avec le public (par exemple, les données financières trimestrielles) et ce qui ne l’était pas (les employés données personnelles).
«J’ai vu beaucoup d’employés se débattre avec la classification des données», a déclaré Mme Rose. «C’est un défi énorme pour de nombreuses organisations parce que ces documents et déclarations de politique sont rédigés de manière très technique. Ce n’est pas vraiment écrit pour les gens. Et donc la plupart du temps, vous trouvez des gens en difficulté ou ils ne l’ont pas lu; ils ont juste en quelque sorte signé.
Dans l’exercice peut-être le plus pertinent pour 2020, l’équipe SC a été invitée à afficher une illustration du domicile d’un télétravailleur pour cliquer sur les risques de sécurité ou les violations qui pourraient potentiellement menacer les données. Living Security a ajouté ce jeu spécifiquement à la lumière de la pandémie COVID-19 pour offrir des leçons clés aux travailleurs distants, y compris les dangers des connexions Wi-Fi ouvertes ou des appareils Internet des objets à la maison.
«L’un des scénarios a mis en évidence l’importance de protéger votre routeur domestique avec un mot de passe», a déclaré Giola. «En tant que personne qui travaille à distance en ce moment, c’était un rappel de rester vigilant en matière de sécurité, quel que soit l’endroit où je travaille.»
Dans la dernière étape, les ninjas de la sécurité ont dû rassembler nos indices et identifier le coupable. Le résultat final: le succès! Nous avons attrapé la menace interne – en 29 minutes, 30 secondes, rien de moins. Notre société imaginaire a été sauvée, et notre société actuelle n’a pas eu à nous congédier pour avoir mal paru.
Désirant des éloges durement mérités, j’ai demandé à Mme Rose ce que nous faisions.
«Vingt-neuf minutes, c’est certainement une bonne mesure de réussite», a-t-elle déclaré, attribuant notre succès à la fois à un solide travail d’équipe et bien sûr à nos connaissances en cybersécurité.
«Parce qu’il y a un élément d’engagement de travail d’équipe ici, nous constatons que si [players] travaillent bien ensemble en équipe dans d’autres domaines, puis ils peuvent généralement très bien résoudre les défis », a-t-elle déclaré. «Pour que vous puissiez saisir les concepts et le matériel et pouvoir vous échapper en 29 minutes, vous devriez vous vanter», a déclaré Mme Rose.
Pourtant, nous n’étions pas des records. Nous avons été informés que certains professionnels de la cybersécurité ont terminé le jeu en à peine 25 minutes environ. Mais nous avons été considérablement plus rapides que le temps moyen de l’utilisateur final d’environ 36 minutes (bien que les temps puissent varier en fonction du contenu du jeu).
Mais alors que les stagiaires peuvent être compétitifs quant à leur temps final, le résultat le plus important est que les employés ont appris des données précieuses et des leçons de sécurité réseau, et sont ouverts à de futures instructions.
En effet, 100% des employés de Mastercard interrogés ont déclaré qu’ils accepteraient de participer à une future salle d’évasion Living Security, et 95 ont déclaré que l’exercice les avait sensibilisés aux concepts de sécurité. «Tous les exercices ont été utiles car ils ont abordé différents aspects de la sécurité et ont servi de bons rappels pour rester en sécurité au travail et à la maison», a déclaré Giola.
Et de penser que tout a commencé avec Ashley et Drew Rose passant une soirée en couple dans une salle d’évasion d’Austin. Mais voici la question que je me posais: y ont-ils vraiment échappé?
«Je vais vous dire ceci: j’étais vraiment mauvais», a déclaré Rose. «Mais une fois que j’ai commencé à les construire, je me suis dit: ‘Oh, j’ai ton numéro… Je sais où ça va être caché.’»
