Sensibiliser aux risques cyber par un escape game
Sécurité des systèmes d’information
CHRU Strasbourg
Le CHRU de Strasbourg travaille actuellement sur un escape game à destination de ses équipes, pour les sensibiliser à la fois aux risques psychosociaux mais aussi aux risques cyber. Entrevue avec Patrick Cambon, membre de l’équipe en charge de la sécurité des systèmes d’information au CHRU Strasbourg.
Pouvez-vous nous parler de ce projet d’escape game ?
C’est l’histoire du médecin, Mr Jean Aimarre, qui subit du stress au quotidien et qui ne respecte plus les bonnes pratiques d’utilisation des outils informatiques. Il se retrouve confronté à un cyberattaquant qui va le faire chanter. Il doit faire face à une prise en otage des données confidentielles de l’hôpital.
Quel est le but du jeu ?
Le but de l’escape game est de sensibiliser aux bonnes pratiques concernant la cybersécurité comme faire attention aux bons mots de passe, ne pas utiliser sa messagerie personnelle, bien lire la charte d’information, etc. Le jeu va permettre de passer en revue les quatre critères de sécurité : la confidentialité, la disponibilité, l’intégrité et la traçabilité.
Notre but à nous, gestionnaires Sécurité et système d’information, c’est de faire de l’accompagnement aux nouveaux usages numériques qui changent tout le temps. Avec ces nouveaux usages arrivent de nouveaux risques. Les surfaces d’expositions aux risques cyber ne cessent de croitre, même si la porte d’entrée est, à 90%, la messagerie.
Comment ce projet d’escape game est né ?
Concernant la cybersécurité, nous sommes toujours à la recherche d’idées de sensibilisation. Ce n’est pas chose facile ! Nous parlons de plus en plus de cybermenace, mais ça n’est pas la priorité.
Mes collègues de la médecine préventive avaient déjà organisé un escape game. Nous nous sommes donc rapprochés d’eux pour créer quelque chose ensemble. Nous avons choisi de sensibiliser à la fois à la cybersécurité mais aussi aux risques psychosociaux.
Pourquoi lier RPS et cybermenace ?
Si vous êtes très stressé, que l’on vous demande d’envoyer un document en urgence, que votre messagerie est pleine, que ça ne fonctionne pas comme vous voulez, etc, vous allez essayer de contourner le problème, c’est humain. Vous allez donc utiliser votre messagerie personnelle. Et c’est une erreur.
Il y a aussi un lien entre les RPS et les conséquences d’une cyberattaque. Pendant l’attaque, vous pouvez être touché par un sentiment de sidération. Puis vont s’ajouter l’humiliation, le sentiment d’incompétence, voire la culpabilité. Ce qui accentue les RPS.
Quel message voulez-vous faire passer ?
Lors d’une cyberattaque, il faut voir les utilisateurs comme des victimes et pas comme des acteurs de la malveillance interne.
Certains disent que le problème se situe entre la chaise et le clavier, au sein du CHRU nous voulons plutôt aider le gens. Avec cet escape game, notre démarche est bienveillante. La bienveillance apporte plus de solutions que de « taper sur la tête des gens » quand ça se passe mal. Nous sommes là pour faire progresser les équipes.
Quelle est la suite du projet ?
Le montage de l’escape game est prévu pour le mois de juin. Nous aimerions mettre l’escape game à disposition pour d’autres structures, mais pour cela nous sommes à la recherche de sponsors afin de numériser entièrement le jeu.