La ludification des programmes de sensibilisation à la cybersécurité

Rayan Roumiguières, candidate à la maîtrise

Version téléchargeable en français

Version en anglais (bientôt disponible)

Introduction

Le facteur humain reste au centre des inquiétudes en ce qui concerne la robustesse des systèmes de sécurité de l’information1, 2, 3. Bien que de nombreuses entreprises investissent dans des programmes de sensibilisation et de formation à la sécurité de l’information (SETA), ceux-ci ne sont pas toujours efficaces et attrayants aux yeux des employés. Par conséquent, des défis subsistent quant à l’application et à l’adoption de politiques organisationnelles4, 5, 6.


La « gamification » ou la « ludification » consiste en « l’application des mécanismes propres aux jeux, notamment aux jeux vidéo, à diverses disciplines telles que la publicité, la commercialisation ou l’éducation, pour inciter de façon ludique les utilisateurs à adopter un comportement souhaité »7. Appliqué aux programmes SETA, ce processus permettrait de rendre certaines tâches, telles que l’acquisition ou encore l’évaluation de connaissances en sécurité de l’information, plus attractives et engageantes auprès des employés d’une organisation8. De plus, l’utilisation de la ludification peut permettre aux organisations de sauver des coûts et d’améliorer leurs performances8, 9.

Ludification, principes et applications

La littérature scientifique ainsi que le monde professionnel semblent s’appuyer sur une multitude de définitions de ce qu’est la ludification des systèmes de l’information. Parmi celles-ci, nous retiendrons celle définissant la ludification comme étant l’incorporation d’éléments de design du jeu à un système donné, en conservant les fonctions instrumentales dudit système8. D’autres auteurs ajoutent à cette notion de ludification l’aspect sécuritaire6. Ils font ainsi une distinction entre la ludification et la ludification de sécurité qui elle, consiste à incorporer des éléments de design et des mécanismes du jeu à un système afin de renforcer la motivation des employés à apprendre, à être efficace ou encore à être conformes aux initiatives de sécurité d’une organisation.


Il reste qu’il ne semble pas exister non plus de consensus sur la taxonomie de la ludification8. En effet, des confusions et des redondances persistent en ce qui concerne la qualification des éléments visuels, du fonctionnement du jeu, ainsi que de l’expérience que l’utilisateur en retire. Pour pallier ces confusions des chercheurs ont proposé une taxonomie des éléments de design la ludification en s’appuyant sur deux concepts : les objets et les mécanismes8.

 

  • Les objets du jeu, font référence aux éléments du jeu permettant de créer une expérience sensorielle (sonore, visuelle, etc.) ou encore cognitive (histoires, trames narratives, etc.). Ces éléments peuvent prendre la forme d’objets graphiques (blocs, étoiles, animations, etc.), de script, ou même de personnages. Il est important de noter que les objets de ludification peuvent remplir des fonctions esthétiques, mais aussi remplir des fonctions dans le jeu. Par exemple, les pièces d’or, utilisées dans plusieurs types de jeux, peuvent créer une expérience sensorielle, mais aussi être utilisées comme monnaie d’échange ou comme points8.

  • Les mécanismes du jeu, font référence aux fonctionnements, aux principes et aux règles régissant le jeu et guidant les actions des joueurs8, 10. Nous pouvons citer comme exemple de mécanisme, le fait que certains jeux requièrent de jouer qu’avec un certain nombre de cartes en main. De plus, les mécanismes du jeu peuvent également inclure les changements de niveaux (notamment par l’octroi de badges) ou la nécessité d’interagir avec d’autres joueurs8.
     

Pour comprendre la façon dont la ludification agit et est structurée, un cadre de design et de la recherche de la ludification des systèmes d’information a été proposé8. Ce cadre s’appuie sur six grands principes soient : le principe de congruence des tâches; le principe de personnalisation; le principe de la capacité technologique; le principe du dynamisme; le principe de récurrence et le principe de la dualité des résultats.

Le principe de congruence des tâches

Ce principe consiste à aligner les éléments de design du jeu à la tâche à laquelle le processus de ludification s’applique8. Ainsi, le « feedback », élément permettant une rétroaction en conséquence à une action, est un élément de design de la ludification permettant de respecter ce principe. Des chercheurs ont d’ailleurs mis en évidence l’apport de la ludification de sécurité pour inciter les employés à utiliser des mots de passe robustes11. En effet, par un système de marquage de point, le processus de ludification produit une rétroaction aux employés concernant la robustesse de leurs mots de passe rendant ainsi plus attrayante la tâche de choisir un mot de passe robuste11.

Le principe de la personnalisation


Ce principe s’appuie sur le fait que les éléments de design du jeu doivent être adaptés aux caractéristiques des utilisateurs. Ce principe peut ainsi comprendre la mise en place de rétroactions personnalisées selon la performance de l’utilisateur8. En outre, plusieurs recherches ont démontré que chaque processus de ludification se doit aussi d’être adapté à l’organisation dans laquelle il est déployé3.


Le principe de capacité technologique


Selon ce principe, les éléments de design de la ludification doivent s’enligner avec les capacités des technologies utilisées8. Par exemple, une application mobile de santé et de remise en forme utilisée dans un contexte corporatif peut être installée sur un téléphone intelligent, mais aussi par sur appareils intelligents portatifs tels que des montres intelligentes. De ce fait, ces deux types d’appareils permettraient des utilisations différentes de l’application. Par exemple, les montres intelligentes permettraient d’enregistrer en direct les activités physiques des employés alors que les téléphones intelligents demanderaient aux employés d’enregistrer eux-mêmes leurs activités sportives. En ce sens, les capacités et les caractéristiques des appareils utilisés jouent un rôle dans le choix des éléments de design de la ludification. Nous notons toutefois que ce principe peut-être plus difficile à appliquer dans le cadre de la ludification de sécurité et particulièrement dans des programmes SETA organisationnels, puisque les capacités des technologies utilisées dans un contexte corporatif peuvent être relativement restreintes (ordinateurs corporatifs, téléphone corporatif, etc.).


Le principe du dynamisme de la ludification


Le processus de ludification devrait provoquer l’interaction désirée entre les utilisateurs et le système ciblé. Plusieurs mécanismes et objets du jeu tels que la possibilité de commenter les performances des autres, ou encore le fait d’afficher les performances de l’utilisateur (badge, niveau, etc.) permettent différentes interactions sociales entre les utilisateurs et le système gamifié. On peut voir par exemple, le rôle de l’influence sociale dans la ludification12. Ainsi, dans le contexte de la santé, l’aspect social d’un processus de ludification (interaction avec une communauté, possibilité de commenter les performances entre utilisateurs, etc.) renforce l’intention des utilisateurs à utiliser le système et à continuer d’adopter le comportement induit par celui-ci, dans ce cas-ci, à faire de l’exercice physique12.


Le principe de récurrence


Un autre principe renvoie au fait que les éléments de design de la ludification doivent correspondre à la fréquence souhaitée d’utilisation du système. Ainsi, dans le processus de ludification il est important de se poser les questions suivantes : le système ludifié sera-t-il utilisé de façon ponctuelle, ou fréquemment ? Sera-t-il utilisé sur le court, le moyen ou le long terme ? Les réponses à ces questions vont influencer le choix des éléments de design du jeu et notamment la manière dont ceux-ci permettront de maintenir l’intérêt et la motivation à utiliser le système. Il existe ainsi deux types de motivations : les motivations intrinsèques et les motivations extrinsèques. Les motivations intrinsèques font référence aux raisons inhérentes d’un comportement pour lesquelles un individu l’adopte. Cela comprend les émotions que ce comportement procure ou bien encore la possibilité qu’offre le comportement d’améliorer le développement personnel13, 14. Les motivations extrinsèques concernent quant à elles les raisons externes au comportement qui poussent un individu à l’adopter, telles que les récompenses octroyées ou bien l’obligation de se conformer13, 14. Ainsi, si le système doit être utilisé fréquemment alors il faudra privilégier des éléments de design du jeu qui ont un effet sur les motivations intrinsèques et permettront une motivation dans le temps, par exemple en incorporant des éléments dynamiques dans le jeu (changement de niveaux, de difficulté, etc.)6, 8.


Le principe de la dualité des résultats


Enfin, le dernier principe est celui de la dualité des résultats de la ludification. Selon ce principe, la ludification des systèmes d’information doit pouvoir offrir une expérience satisfaisante à l’utilisateur tout en lui apportant des bénéfices instrumentaux (acquisition de savoirs, de compétences, etc.) pour garantir son engagement. La satisfaction personnelle, qui résulte de l’utilisation d’un système ludifié, permet d’agir sur l’intention d’adopter le comportement induit par ce système. Par conséquent, il existe un lien direct entre les motivations intrinsèques et le changement de comportement d’un individu6, 14. Des chercheurs ont d’ailleurs émis l’hypothèse que les systèmes d’octroi de points, de changement de niveaux et de classement pouvaient avoir un impact sur la motivation extrinsèque et augmenter la quantité des performances des utilisateurs15. Ainsi les tableaux de classements et le système de niveaux permettraient aux utilisateurs de maintenir leurs performances plus longtemps que les utilisateurs d’un système non ludifié. En d’autres termes, ces éléments de design du jeu pourraient agir comme récompenses et pousser les utilisateurs à jouer davantage15. Si l’on s’intéresse à ces éléments de façon individuelle, il en ressort que, d’un côté les points semblent servir de rétroaction et que de l’autre, les mécanismes de classements facilitent la compétition entre les utilisateurs17, 18. Certains éléments du jeu permettent également de répondre à des besoins psychologiques des utilisateurs. Ainsi, les badges, les tableaux de classement ainsi que les graphiques de performance agissent positivement sur le besoin de satisfaction de la compétence (impression de l’utilisateur qu’il est efficace et qu’il maitrise son environnement) ainsi que sur le besoin d’autonomie des tâches (impression que les actions correspondent aux buts). Les avatars, les trames narratives et la présence de coéquipiers comblent également le besoin de liens sociaux des utilisateurs (besoin d’être intégré à un environnement social)17, 19, 20.


Toutefois, il est important de retenir le fait que les études s’intéressent souvent à des jeux s’appuyant sur plusieurs éléments de design en même temps et qui interagissent entre eux, avec des types d’utilisateurs et des contextes différents.

D’ailleurs, des éléments de design du jeu tels que les badges ont été utilisés tant dans des exemples de ludification réussis que dans des ludification qui ont échoué8.


En somme, si la ludification offre de multiples opportunités pour l’apprentissage et la sensibilisation aux enjeux  de sécurité de l’information, il reste que de nombreux défis émergent quant à sa conception et à son application.

Défis de la ludification

La ludification s’appuie donc sur plusieurs concepts faisant appel à des domaines divers tels que la psychologie ou encore la sociologie. Il reste qu’étant donné que chaque processus de ludification est unique et que « one size does not fit all »8, le choix des éléments de design de la ludification, est une tâche complexe étant donné qu’il n’existe pas assez de données sur l’efficacité de chacun des éléments du jeu possibles8. Ainsi, nous nous concentrerons ici sur les défis identifiés dans les tentatives de ludification déjà entreprises.


L’usage de la ludification comme outil de sensibilisation à la sécurité de l’information dans une entreprise met en exergue l’importance du temps comme paramètre de la ludification d’un système. En effet, des chercheurs ont démontré que les utilisateurs étaient réticents à utiliser leur système d’authentification, car il rallongeait le temps utilisation du système en question20. Ce défi de la gestion du temps peut aussi se manifester dans les efforts de maintien de l’engagement des utilisateurs. En effet, il est important que la ludification soit équilibrée entre le temps d’utilisation, l’aspect récréatif du jeu et les contenus d’apprentissage pour que l’utilisateur du système ne perde pas sa motivation à apprendre et à jouer6. De plus, l’engagement des utilisateurs requiert également un équilibre entre les défis posés par la ludification et leurs compétences. Entre autres, la difficulté du jeu doit augmenter au fil du temps et au fur et à mesure que l’utilisateur acquiert des compétences. Toutefois il existe un certain point où, bien que le défi soit plus adapté, la motivation intrinsèque de l’utilisateur diminuera. La relation entre les motivations intrinsèques et les défis perçus forment ainsi un U inversé6, 21. L’engagement sur le long terme reste donc un défi de taille pour la ludification. Cependant, certains mécanismes, tels que les compétitions, apparaissent comme une réponse à ce défi. Ainsi, les degrés d’engagement et les bénéfices instrumentaux (acquisition de compétences, etc.) diffèrent selon le type de compétition22. Si l’objectif primaire d’une organisation est d’améliorer les capacités perçues de ses utilisateurs, alors la structure devrait mettre en compétition des utilisateurs de niveaux différents. À contrario, si l’objectif de l’organisation est de maintenir un engagement et une expérience satisfaisante, alors la compétition devrait faire affronter des utilisateurs ayant les mêmes capacités22. De plus, la coopétition, qui consiste à coopérer tout en étant en compétition peut aussi être une alternative pour maintenir l’engagement des utilisateurs8, 23.


Un autre défi régulièrement rencontré concerne l’impact de la ludification sur la sensibilisation et l’apprentissage. La qualité des médias utilisés peut avoir un impact sur le degré de sensibilisation et de compétences des employés dans le cadre des programmes de SETA24. Les hypermédias (combinaison de texte et de multimédias) ont des meilleurs résultats quant aux perceptions, aux compréhensions et aux anticipations des menaces à la sécurité de l’information que les multimédias (interactions entre des vidéos, photos, graphiques, etc.). Il reste qu’en offrant une certaine stimulation (badge, points, avatars, etc.) la ludification peut mener les utilisateurs à se concentrer sur ses aspects récréatifs plutôt que d’en retirer des savoirs et des compétences tangibles22. Dans le même ordre d’idée, la ludification de sécurité peut provoquer de la lassitude chez les employés. Ces derniers peuvent se sentir envahis d’informations concernant la sécurité et ressentir un effet de « fatigue de la sécurité »25, 26.


Enfin, les résultats de la ludification comme stratégie de prévention et d’influence des comportements à risques restent encore peu connus. Si certains processus de ludification ont démontré avoir une influence sur le comportement des employés quant au choix de leurs mots de passe11, 20, à leurs sensibilités aux mécanismes d’ingénierie sociale ou encore au hameçonnage3, 27, 28, ces résultats n’ont pas été mesurés sur le long terme6, 8.

Conclusion

En somme, nous en concluons que la ludification de sécurité, bien qu’elle en soit encore à ses balbutiements, offre des options intéressantes aux organisations. En effet, elle propose une panoplie de possibilités d’applications, allant de la mise en place de la ludification sur des systèmes techniques (comme les systèmes d’authentification) à son utilisation dans un cadre éducatif (comme les programmes de sensibilisation des employés)2, 11, 20, 27, 28. Toutefois, plusieurs questions restent encore sans réponses. Étant donné que la ludification est une stratégie qui exige la prise en compte des particularités tant de l’organisation qui l’utilise que de ses employés4, 8, les paramètres et les facteurs permettant une efficacité optimale (maintien de la motivation, rétention des apprentissages, etc.) restent encore à être peaufinés.

Recommandations


Deux éléments importants concernant l’application de la ludification des programmes SETA dans un contexte corporatif sont à prendre en compte, soit la personnalisation et l’engagement :


La personnalisation : étant donné qu’en ce qui concerne la ludification « one size does not fit all »8, il est important de :

  • Prendre en compte les particularités et les objectifs de l'organisation (temps que l'organisation souhaite allouer au programme, volonté de créer une communauté, etc.) ;

  • Déterminer la fréquence d'interaction souhaitée avec le programme gamifié.
     

L’engagement : selon la fréquence d’interaction souhaitée avec les programmes SETA et leurs contenus, les éléments de design de la ludification doivent pouvoir stimuler l’engagement à court, moyen et/ou long terme. Pour cela, il est possible :

  • D’adapter les niveaux de difficulté au fur et à mesure que l’utilisateur acquiert des connaissances et des compétences;

  • De permettre aux utilisateurs d’avoir des interactions sociales dans le cadre du système;

  • D’utiliser des hypermédias et des éléments de design du jeu permettant aux utilisateurs d’obtenir de la rétroaction personnalisée;

  • De mettre en place des systèmes de compétition ou de coopétition pour favoriser l’engagement et l’entraide entre les employés8, 23.

Références

1 Bellekens, X. et al. (2019). From Cyber-Security deception to manipulation and gratification through gamification. Dans: Moallem, A. (eds), HCI for Cybersecurity, Privacy and Trust, vol 11594, 99-114. https://doi.org/10.1007/978-3-030-22351-9_7
2 Hart, S., et Margheri, A., Paci, F. Sassone, V. (2020). Riskio a serious game for cyber security awareness and education. Computers & security, 95, 1-16.
3 Cole, J.R., Pence, T., Cummings, J., Baker, E. (2019). Gamifying Security Awareness: A New Prototype. In: Moallem, A. (eds), HCI for Cybersecurity, Privacy and Trust, vol 11594, 115-133.
4 Willison, R. et Warkentin, M. (2013). Beyond deterrence: An expanded view of employee computer abuse. MIS Quarterly, 37(1), 1–20.
5 Neigel, A.R., Claypoole, V.L., Waldfogle, G.E., Acharya, S., Hancock, G.M. (2020). Holistic cyber hygiene education: Accounting for the human factors. Computers & Security, 92, 101731.

6 Silic, M. et Lowry, P.B. (2020). Using Design-Science Based Gamification to Improve Organizational Security Training and Compliance. Journal of Management Information Systems, 37(1), 129-161.
7 Office québécois de la langue française. (2015). Fiche terminologique. Ludification.
8 Liu, D., Santhanam, R., et Webster, J. (2017). Toward meaningful engagement: A framework for design and research of gamified information systems. MIS Quarterly: Management Information Systems, 41(4), 1011-1034.
9 Penenberg, A. (2013). Play at Work: How Games Inspire Breakthrough Thinking. New York: Penguin
10 Teh, N., Schuff, D., Johnson, S., et Geddes, D. (2013). Can Work Be Fun? Improving Task Motivation and Help-Seeking Through Game Mechanics. ICIS.
11 Ophoff, J., et Dietz, F. (2019) Using Gamification to Improve Information Security Behavior: A Password Strength Experiment. Dans: Drevin, L., Theocharidou, M. (eds), Information Security Education. Education in Proactive Information Security. vol 557,157-169. https://doi.org/10.1007/978-3-030-23451-5_12
12 Hamari, J. et Koivisto, J. (2015). "Working out for likes": an empirical study on social influence in exercise gamification. Computers in Human behavior, 50, 333-347.
13 Ryan, R. M., et Deci, E. L. (2000). Self-determination theory and the facilitation of intrinsic motivation, social development, and well-being. American Psychologist, 55(1), 68-78.
14 Mitchell, R., Schuster, L., Jin, H.S. (2020). Gamification and the impact of extrinsic motivation on needs satisfaction: Making work fun? Journal of Business Research, 106, 323-330.
15 Mekler, E.D., Brülmann, F., Tuch, A. N., Opwis, K. (2017). Towards understanding the effects of individual gamification elements on intrinsic motivation and performance. Computers in Human Behavior, 71, 525-534.
16 Sailer, M., Hense, J. U., Mandl, S.K., et Markus, K. (2013). Psychological Perspectives on Motivation through Gamification. Interaction Design and Architecture(s) Journal, 19, 28-37.
17Sailer, M., Hense, J. U., Mayr, S.K., et Mandl, H. (2017). How gamification motivates: An experimental study of the effects of specific game design elements on psychological need satisfaction. Computers in Human Behavior, 69, 371-380.
18 Ryan, R. M. et Vansteenkiste, M. (2013). On Psychological Growth and Vulnerability: Basic Psychological Need Satisfaction and Need Frustration as a Unifying Principle. Journal of Psychotherapy Integration, 23(3), 263-280.
19 White, R. W. (1959). Motivation reconsidered: The concept of competence. Psychological Review, 66(5), 297-333.
20 Ebbers, F., Brune, P. (2016). The Authentication Game - Secure User Authentication by Gamification? Dans: Nurcan, S., Soffer, P., Bajec, M., Eder, J. (eds), Advanced Information Systems Engineering, vol 9694, 101-115.
21 Ma, Q., Pei, G., et Meng, L. (2017). Inverted u-shaped curvilinear relationship between challenge and one’s intrinsic motivation: Evidence from event-related potentials. Frontiers in Neuroscience, 11, 131-139.
22 Santhanam, R., Liu, D. et Milton Shen, W.C. (2016). Research Note—Gamification of Technology-Mediated Training: Not All Competitions Are the Same. Information Systems Research, 27(2), 453-465.
23 Luo, X., Slotegraaf, R., et Pan, X. (2006). Cross-funcional « Coopetition »: the simultaneous role of cooperation and competition within firms. Journal of Marketing, 70, 67-80.
24 Shaw, R.S., Chen, C. C., Harris, A. L., et Huang, H. (2009). The impact of information richness on information security awareness training effectiveness. Computers & Education, 52, 92-100.
25 Scholefield, S., Shepherd, L.A. (2019). Gamification Techniques for Raising Cyber Security Awareness. Dans: Moallem, A. (eds), HCI for Cybersecurity, Privacy and Trust, vol 11594, 191-203.
26 Furnell, S., et Thomson, K.L. (2009). Recognising and addressing “security fatigue”. Computer Fraud & Security, 11, 7-11.
27 Aladawy, D., Beckers, K., Pape, S. (2018). PERSUADED: Fighting Social Engineering Attacks with a Serious Game. Dans: Furnell, S., Mouratidis, H., Pernul, G. (eds), Trust, Privacy and Security in Digital Business, vol 11033, 103-118.
28 Goeke, L., Quintanar, A., Beckers, K., Pape, S. (2020). PROTECT – An Easy Configurable Serious Game to Train Employees Against Social Engineering Attacks. Dans: Fournaris, A. et al. (eds), Computer Security, vol 11981, 156-171.