La formation traditionnelle en cybersécurité et en conformité peut être d’un ennui mortel, ce qui peut entraîner un faible engagement et une faible rétention chez les employés. La gamification, si elle est bien faite, offre une alternative rafraîchissante, transformant les modules ennuyeux en expériences interactives qui favorisent un réel changement de comportement et renforcent la posture de sécurité globale de votre organisation, affirme Anna Collard de KnowBe4 Africa (www.KnowBe4.com).
« La formation traditionnelle donne souvent l’impression d’être une corvée, trop théorique, non pertinente ou déconnectée du travail quotidien où les gens se sentent déjà dépassés et surchargés », affirme Anna Collard, vice-présidente principale de la stratégie de contenu et évangéliste chez KnowBe4 Africa. Elle explique que présenter un contenu unique à tous les employés, qui a peu d’application dans le monde réel, ne parvient souvent pas à capter leur attention ou à modifier leur comportement. « Les gens oublient les informations avec lesquelles ils ne s’engagent pas émotionnellement ou auxquelles ils ne voient pas de pertinence », commente-t-elle. « Pire encore, cela ne contribue guère à inculquer un véritable état d’esprit de sécurité, le genre qui transforme les participants passifs en défenseurs proactifs. »
Place à la gamification
En revanche, l’application d’éléments de conception de jeux, tels que des points, des badges, des classements et des récompenses, à la formation en cybersécurité exploite notre désir naturel d’accomplissement, de compétition et de progrès. « Lorsque l’apprentissage ressemble à un défi passionnant plutôt qu’à une corvée, la rétention et l’engagement s’améliorent », explique Collard. « Cela aide à transformer la cybersécurité d’un fardeau de conformité en une compétence personnelle dont on peut être fier. »
Collard explique que des principes psychologiques comportementaux et cognitifs solides rendent la gamification si efficace. « Lorsque nous atteignons un objectif, le cerveau libère de la dopamine, activant ses centres de récompense », dit-elle. « C’est ce qui rend l’apprentissage gamifié si engageant – il est littéralement agréable de progresser. »
De même, la fixation d’objectifs présente de multiples avantages. « Lorsque vous introduisez des objectifs clairs et progressifs, cela augmente la motivation », soutient Collard. La comparaison sociale est un autre phénomène psychologique qui peut être exploité. « Les classements et l’évaluation par les pairs font appel à notre tendance naturelle à la comparaison sociale », déclare-t-elle. « Lorsque les employés voient comment ils se situent, ils se dépassent souvent. »
Cependant, Collard estime que la forme ultime de motivation n’est pas les récompenses. « Les meilleurs programmes de sécurité gamifiés vont au-delà des badges et des points », dit-elle. « Ils exploitent des motivations intrinsèques comme l’autonomie, la maîtrise et le but, qui entraînent un changement de comportement durable. »
Des applications de fitness aux applications linguistiques
D’autres industries ont réussi à exploiter le pouvoir de la gamification – des programmes de récompenses de fitness aux applications éducatives. « En offrant des smoothies et des cafés gratuits, Virgin Active et Discovery Vitality encouragent en fait leurs membres à rester en forme et en bonne santé », commente Collard. « De même, des applications linguistiques comme Duolingo aident les apprenants à suivre leurs progrès grâce à des séries, des classements et des objectifs quotidiens. » Ce sont des exemples comme ceux-ci qui ont inspiré les entreprises de formation en cybersécurité à suivre le mouvement.
« L’un de nos jeux de sécurité les plus populaires est Spot the Phish, que nous avons développé avec Sanlam il y a de nombreuses années », explique-t-elle. « Il est facile et amusant à jouer, tout en apprenant aux utilisateurs ce qu’il faut rechercher. » En glissant vers la gauche ou vers la droite, les joueurs sont introduits à de multiples scénarios de phishing où ils pourraient être victimes d’une escroquerie. « Je pense que sa simplicité est ce qui l’a rendu si réussi. » Un autre jeu efficace qu’elle utilise est une simulation basée sur une histoire où les employés assument des rôles, tels qu’un cybercriminel ou un détective, et font des choix qui mènent à des résultats différents. « Ce type d’immersion narrative les aide à comprendre les conséquences réelles de leurs actions », explique Collard.
Transformer les employés passifs en défenseurs proactifs
Mais comment les organisations passent-elles de la fatigue de la conformité à l’enthousiasme pour la sécurité ? Collard suggère de commencer petit, comme un classement pour le signalement le plus rapide des e-mails de phishing simulés ou l’intégration de la narration dans les jeux. Une autre recommandation est que les organisations suivent l’engagement des employés. « Cela identifie les lacunes en matière de connaissances et le contenu peut ensuite être adapté en conséquence », dit-elle. Ceci est crucial, car le rapport KnowBe4 Africa Human Risk Management Report 2025 a révélé que plus de 41 % des organisations interrogées déclarent que leur plus grand défi est de mesurer si la formation de sensibilisation à la sécurité (SAT) fonctionne réellement. Ce « fossé de confiance » met en évidence une déconnexion entre la perception de la sensibilisation et la préparation réelle, ce qui signifie qu’une main-d’œuvre qui semble formée sur le papier pourrait être vulnérable en réalité.
Le rapport souligne en outre que la fréquence de formation traditionnelle est souvent insuffisante, 29 % des organisations dispensant une formation annuellement et 39 % biannuellement. Cette faible fréquence contribue à l’« effet de prévalence », où une exposition peu fréquente à des menaces même simulées rend les employés moins susceptibles de détecter de réelles attaques. Pour contrer cela, les simulations de phishing gamifiées, lorsqu’elles sont menées plus fréquemment, se sont avérées directement corrélées à des améliorations mesurables du comportement en matière de sécurité. Les recherches de KnowBe4 auprès de plus de 60 000 organisations individuelles dans le monde, comprenant plus de 32 millions d’utilisateurs individuels, le confirment – une fréquence de simulation accrue conduit à de meilleures habitudes de sécurité.
Enfin, en impliquant les employés et en récompensant leurs progrès, un changement de comportement significatif peut se produire. « Laissez vos employés trouver leurs propres noms d’équipe, car l’appropriation augmente la participation », insiste-t-elle. « En termes de récompenses, offrez-leur des incitations ou une reconnaissance pour leurs réalisations. » L’intégration de ces principes dans la formation en cybersécurité de votre organisation augmentera non seulement les niveaux de plaisir au travail, mais aura également des avantages durables.
« La bonne application de la gamification augmentera la participation et améliorera la rétention des connaissances chez vos employés, ce qui se traduira par une posture de sécurité plus solide et une culture de sécurité plus positive », conclut Collard. Ceci est particulièrement important étant donné que le rapport KnowBe4 Africa Human Risk Management Report 2025 a également révélé que seulement 10 % des décideurs sont pleinement confiants que leurs équipes signaleraient un e-mail ou une menace suspecte. La gamification offre une solution tangible pour combler ce fossé, en traduisant la sensibilisation en comportements de sécurité actionnables et cohérents.
Distribué par APO Group pour KnowBe4.
Détails du contact :
KnowBe4:
Anne Dolinschek
[email protected]
Red Ribbon
TJ Coenraad
[email protected]