Cyber Guru Awareness est un programme pédagogique basé sur des méthodes de formation avancées et sur les techniques d’apprentissage numérique les plus efficaces pour un public adulte.
CGA a été conçu pour impliquer l’ensemble de l’organisation dans un parcours d’apprentissage à la fois éducatif et stimulant, caractérisé par une approche à diffusion constante et progressive :
-
la formation ne mobilise le participant que quelques minutes par semaine, mais s’inscrit dans un parcours de 3 ans (Cyber School), qui maintient l’attention de l’apprenant à chaque interaction avec les technologies numériques ;
-
à la fin des 3 premières années (Cyber School), l’utilisateur peut, de façon optionnelle, être invité à certifier ses compétences lors d’une session de test composée de 50 questions, préalable à la délivrance d’un certificat obtenu en répondant correctement à 60 % des questions ;
-
à partir de la quatrième année, l’utilisateur est accompagné dans un contexte de maintien et de mise à jour des compétences cyber via l’environnement Cyber Campus, où la plateforme propose des modules de formation interactifs ;
-
les leçons sont disponibles en format multimédia, avec la possibilité de consulter les contenus en vidéo (méthode principale) ou en version texte ;
-
l’accès est possible depuis différents types d’appareils (PC, smartphone, tablette) et à tout moment ;
-
le langage utilisé est vulgarisé, pensé pour être efficace auprès de collaborateurs ayant des niveaux de compétence variés sur les sujets de la cybersécurité ;
-
chaque vidéo-leçon est accompagnée de tests d’évaluation du niveau d’apprentissage ;
-
les modules de formation interactifs sont conçus pour générer un retour d’information de “renforcement” ou de “réorientation” afin de maintenir les connaissances avec un effort minimal de la part de l’utilisateur ;
-
tous les parcours intègrent de la gamification avec des récompenses et des reconnaissances, ce qui stimule l’apprentissage et valorise l’engagement des apprenants, quel que soit leur niveau de départ ;
-
il est possible de regrouper les utilisateurs en équipes, favorisant une saine compétition et réduisant ainsi le besoin d’intervenir davantage pour encourager la participation ;
-
dans une logique d’optimisation des processus cognitifs, chaque module de formation est autonome et aborde un sujet spécifique ;
-
les modules de formation sont proposés chaque mois et se composent de 3 leçons avec leurs tests et des documents d’accompagnement et d’approfondissement ;
-
les modules de formation sont délivrés automatiquement par la plateforme, maintenant un engagement mensuel constant d’environ 15 à 30 minutes par mois.
Figure 1 - Vidéo-leçon avec des coachs-acteurs.
La solution gère de façon très automatisée le plan d’études de chaque utilisateur, transférant ainsi à la formation à distance l’application des principes fondamentaux de l’apprentissage qui font son succès dans les contextes traditionnels des écoles et universités. En appliquant des concepts éprouvés en andragogie et dans la Théorie de la Charge Cognitive développée par John Sweller, tous les contenus et concepts pédagogiques sont organisés dans une séquence optimale qui réduit la fatigue et permet d’obtenir le meilleur rendement des mécanismes de mémorisation humaine.
En explorant plus en détail les modules de formation qui caractérisent le Cyber Campus, ceux-ci se distinguent par un niveau d’engagement supérieur à celui de la Cyber School, né de la nécessité de prendre en compte l’importance des aspects motivationnels dans un contexte de formation continue sur plusieurs années.
Il s’agit de modules de formation qui développent un modèle d’apprentissage “actif”, avec une expérience utilisateur marquée par un haut niveau d’interactivité.
Ces modules de formation peuvent être classés en deux grandes catégories :
-
Modules de maintien et de réorientation des connaissances, qui ont pour objectif “d’entraîner la mémoire” et qui doivent donc offrir à l’apprenant une expérience plus active que celle vécue dans la Cyber School.
-
Modules de mise à jour, qui adoptent une approche pédagogique similaire à celle des modules de la Cyber School, tout en étant présentés de façon plus “légère” et “verticale” que les modules eux-mêmes.
Les modules de maintien se caractérisent par certains points clés :
-
l’expérience utilisateur privilégie l’interactivité par rapport à la simple consultation de contenus pédagogiques, qui restent toutefois présents ;
-
toute interactivité génère un retour d’information, qui devient le principal levier pédagogique ;
-
un retour de “renforcement” est généré lorsque l’interaction est correcte, et un retour de “réorientation” lorsque l’interaction est erronée ou partiellement correcte ;
-
quelle que soit la qualité des interactions réalisées, la charge pédagogique d’un module reste homogène pour tous, offrant toujours un résultat concret en termes d’apprentissage ;
-
l’interactivité permet de créer des modules davantage orientés vers le Learning by Doing, en simulant des situations concrètes et en évaluant les réactions comportementales ;
-
les mécanismes de gamification, qui dans la Cyber School étaient limités aux résultats des tests, font désormais partie intégrante de l’expérience utilisateur, mettant en place un mécanisme de Game-based Learning.
Les modules de formation sont ensuite classés selon les principales thématiques de la CSA :
-
Ingénierie sociale
-
Authentification
-
Vie privée & Protection des données
-
Malware
-
Comportement
Les modules de formation développés se déclinent en trois types :
-
WarmUp - modules interactifs, très “légers” sur le plan pédagogique, dans une logique d’entraînement, ils rappellent une phase d’échauffement.
-
DidActive - modules interactifs avec un contenu pédagogique plus important, axés sur l’entraînement de la mémoire, grâce à un usage intensif du feedback.
-
Cyber Game – modules interactifs qui intègrent des logiques propres aux Serious Games et au Game-Based Learning, tout en restant une expérience d’apprentissage “individuelle”.
En ce qui concerne les Cyber Game, le modèle de Serious Game choisi pour le premier niveau du Cyber Campus est celui des Escape Room.
Figure 2 - Univers immersif du module interactif "Escape Room".
Les modules de mise à jour sont développés selon un modèle que nous avons appelé Cyber Insights, car il s’agit de modules très ciblés (verticaux) sur un sujet précis. Le développement de ces modules suit l’évolution constante des menaces et des principales techniques d’attaque.
Du point de vue des parcours de formation, ces modules sont combinés et répartis dans le temps, toujours dans le but de maintenir une charge de formation d’environ 15 à 20 minutes par mois. Compte tenu des spécificités des modules interactifs, la charge de formation d’un module est estimée sur la base de l’expérience utilisateur moyenne, calculée sur un échantillon d’utilisateurs hétérogène.
Les modules WarmUp, DidActive et Cyber Insights sont liés par un principe de progressivité, il sera donc nécessaire de compléter le module avec un certain critère d’évaluation pour passer au suivant. Ce schéma ne s’applique pas aux Serious Game, qui sont proposés comme des “défis” indépendants.
Description des modules de formation CGA (Cyber School)
Vous trouverez ci-dessous la liste des 36 modules de formation correspondant aux trois premières années de formation (Cyber School). Bien que chaque module soit autonome, la séquence dans laquelle ils ont été organisés a été pensée pour permettre des rappels “naturels” à des sujets déjà abordés, renforçant ainsi le niveau d’apprentissage et de mémorisation des contenus.
Année 1
PHISHING
Le PHISHING est la technique d’attaque la plus courante utilisée par les cybercriminels et utilise principalement l’email comme vecteur de diffusion, même si elle s’étend rapidement à d’autres canaux, comme les messageries les plus populaires et les réseaux sociaux. Elle est particulièrement sournoise car elle repose sur la tromperie, cherchant à pousser la victime potentielle à effectuer une action qui permet au criminel de lancer son attaque. Ce module de formation fournit les éléments nécessaires pour reconnaître une attaque de PHISHING et adopter les contre-mesures appropriées.
MOT DE PASSE
L’un des piliers de la cybersécurité est le MOT DE PASSE, la clé d’accès à toutes les ressources informatiques devant être protégées de façon sûre et confidentielle. La gestion de ses propres MOTS DE PASSE devient donc un élément fondamental des stratégies de défense, tant pour l’individu que pour l’organisation. Ce module de formation fournit les éléments nécessaires à une gestion sécurisée des MOTS DE PASSE, afin de les protéger contre les tentatives de violation qui pourraient avoir des conséquences désastreuses.
RÉSEAUX SOCIAUX
Les RÉSEAUX SOCIAUX représentent une nouvelle façon de socialiser, rendue possible par les nombreuses opportunités offertes aujourd’hui par la technologie numérique. Mais ils constituent aussi des facteurs de risque, pouvant compromettre à la fois la vie privée des personnes et la sécurité des systèmes des organisations. Ce module fournit les éléments nécessaires pour utiliser ces outils de façon responsable, protégeant la personne et l’organisation contre les risques liés au partage en ligne de contenus personnels et professionnels.
VIE PRIVÉE & RGPD
L’introduction du nouveau règlement européen sur la protection des données a accru la sensibilité des organisations à la VIE PRIVÉE et à la protection des données sensibles. Au-delà des rôles spécifiques, il est important que tous les membres d’une organisation développent une plus grande sensibilité à la protection des données. Ce module fournit les éléments nécessaires pour adopter une attitude proactive en matière de protection des données et contribuer à la conformité de l’organisation avec les nouvelles normes européennes.
MOBILE & APPLICATIONS
Les APPAREILS MOBILES, en particulier les smartphones et tablettes, sont des outils de plus en plus critiques et représentent le summum du chevauchement risqué entre sphère personnelle et professionnelle. Ce module fournit les éléments nécessaires pour utiliser les appareils mobiles, qu’ils soient personnels ou professionnels, de façon responsable, en adoptant de bonnes pratiques pour renforcer la sécurité et la protection des données.
FAKE NEWS
Les FAKE NEWS sont des articles rédigés avec des informations inventées ou simplement déformées, dans le but de désinformer. C’est un phénomène dangereux qui, s’il n’est pas maîtrisé, peut avoir des conséquences négatives tant pour l’individu que pour les organisations. Le sujet est souvent abordé sous l’angle social et politique, mais il a aussi un lien direct avec la cybersécurité. Ce module de formation fournit les éléments nécessaires pour reconnaître une Fake News, en activant certains processus d’analyse qui aident à adopter la bonne attitude face à toute information trouvée en ligne.
CLÉ USB
Tous les dispositifs USB, et en particulier les dispositifs de stockage, peuvent devenir un point critique en ce qui concerne la protection des informations confidentielles, c’est pourquoi ils font souvent l’objet de politiques spécifiques. Ce module de formation fournit les éléments nécessaires pour identifier tous les risques associés aux dispositifs USB, en particulier les dispositifs de stockage, et adopter de bonnes pratiques pour éviter tout risque de fuite de données.
SÉCURITÉ DES EMAILS
L’EMAIL est un outil de plus en plus important, qui occupe une place centrale et particulièrement critique dans la vie professionnelle. Les EMAILS servent à échanger des informations sensibles, il est donc essentiel de ne pas négliger la sécurité. Ce module de formation fournit les éléments nécessaires pour sécuriser les emails et les informations qu’ils contiennent.
MALWARE & RANSOMWARE
Les MALWARE en général et les RANSOMWARE en particulier ont rapidement fait la une de l’actualité, mettant en lumière toute leur dangerosité. Il est important de comprendre que les logiciels antivirus ne garantissent pas une protection totale contre ces programmes malveillants. Ce module de formation fournit les éléments nécessaires pour réduire le risque de devenir victime de ce type de logiciel et pour limiter les conséquences négatives en cas d’attaque.
NAVIGATION WEB
La NAVIGATION sur le WEB comporte de nombreux risques et, dans ce qui semble aujourd’hui une activité banale, de nombreux aspects critiques peuvent survenir. Une bonne connaissance de certaines caractéristiques propres aux sites web et aux navigateurs peut aider à réduire considérablement le niveau de risque. Ce module de formation fournit les éléments nécessaires pour naviguer sur le WEB en toute sécurité.
SCÉNARIOS CRITIQUES
Dans l’interaction avec le cyberespace, il existe certains scénarios critiques : l’utilisation des plateformes Cloud, les voyages d’agrément ou d’affaires, ou encore l’utilisation des plateformes d’e-commerce, que ce soit en B2B ou en B2C. Ce sont des situations particulièrement exposées aux attaques des cybercriminels, avec des risques aussi bien sur le plan individuel que professionnel. Ce module vise à fournir des éléments essentiels de sensibilisation pour aider à comprendre les menaces, souvent sous-estimées, liées à ces usages spécifiques des technologies numériques.
SOCIAL ENGINEERING
Le social engineering, ou ingénierie sociale, est la base de toutes les stratégies d’attaque cyber. C’est une méthode qui repose sur la tromperie et la manipulation psychologique à des fins frauduleuses. Pour rendre l’attaque plus efficace, le cœur de cette stratégie consiste à recueillir des informations sur la victime ciblée. Ce module apporte des éléments de sensibilisation sur les techniques utilisées par les cybercriminels, devenant ainsi une synthèse idéale des points déjà abordés dans les modules précédents.
Année 2
CLEAN DESK
Prêter une attention particulière à son poste de travail, en évitant de laisser des informations critiques ou sensibles à la portée de personnes non autorisées, est un principe de base pour garantir la sécurité des informations, la protection des données, et donc aussi le respect des réglementations sur la vie privée. Ce module, en plus de donner des conseils pratiques, rappelle des notions telles que la protection des données et la confidentialité, notamment dans la perspective du RGPD.
SMART-WORKING
Avec l’urgence COVID-19 et le recours généralisé au télétravail, il est devenu nécessaire de se concentrer sur ce sujet particulier. Travailler en dehors des murs « rassurants » de notre bureau expose tous les utilisateurs à une augmentation des risques cyber. Ce module met donc l’accent sur les principaux points de vulnérabilité rencontrés dans cet environnement moins protégé et explique comment réduire les risques grâce à des comportements adaptés et une meilleure prise de conscience.
SOCIAL COLLABORATION & VIDÉO-CONFÉRENCE
L’urgence COVID-19 et le recours rapide au télétravail ont entraîné une forte augmentation de l’utilisation des outils de partage d’informations et de collaboration, en particulier les outils de visioconférence ; une utilisation qui a dépassé le cadre professionnel pour s’installer aussi dans la sphère personnelle. Ce module met en lumière certaines menaces étroitement liées au partage et à la collaboration, en insistant sur la nécessité d’utiliser correctement ces outils afin de préserver la confidentialité et la sécurité.
SMISHING & VISHING
Une autre technique particulière de phishing qui cible les systèmes de messagerie comme WhatsApp, Messenger, Telegram et les SMS. Ce module, à travers une série d’exemples concrets, vise à faire comprendre à l’utilisateur que même les systèmes de messagerie, parfois considérés comme « SÛRS », peuvent cacher des pièges. Il met en avant le fait qu’un comportement inadapté ou négligent peut mettre en danger non seulement notre sécurité, mais aussi celle de notre réseau relationnel.
SPEAR PHISHING
On revient sur le thème du phishing en rappelant des notions déjà abordées, en partant du principe que l’utilisateur a acquis, grâce aux modules précédents, un niveau de connaissance de base pour approfondir certains sujets et améliorer sa capacité à reconnaître une attaque de phishing. Ce module, axé sur la nécessité de reconnaître une attaque de spear phishing – une technique sophistiquée visant un individu ou un groupe spécifique – met l’accent sur les méthodes utilisées pour collecter des informations sensibles par la tromperie.
RANSOMWARE
C’est le plus sournois des MALWARES, celui qui cause le plus de dégâts et qui soumet individus et organisations à un chantage dont il est difficile de se sortir. Des attaques de RANSOMWARE ont déjà paralysé l’activité de nombreuses entreprises, les obligeant souvent à payer des sommes importantes pour reprendre le contrôle de leurs données et informations. Cette technique est de plus en plus répandue et agressive, et ces derniers temps, les attaques graves liées à cette méthode se sont multipliées.
AUTHENTIFICATION MULTIFACTEUR
Ce module approfondit les systèmes d’authentification les plus avancés, à la fois pour encourager leur utilisation là où c’est techniquement possible, afin de renforcer la sécurité globale des individus et des organisations, et pour informer l’utilisateur sur les nouvelles techniques utilisées par les hackers pour contourner ces systèmes, en exploitant le facteur humain. Parmi celles-ci, l’accent est mis sur le Sneaky Phishing, une évolution spécifique des techniques de phishing, ainsi que sur la pratique du Sim Swap, par laquelle les criminels cherchent à prendre frauduleusement le contrôle du smartphone de l’utilisateur.
APPAREILS IoT
Nous sommes de plus en plus interconnectés, et cela ne fera qu’augmenter. L’évolution technologique nous conduit vers une interconnexion totale, qui ne concerne plus seulement les personnes, mais aussi les objets. Ce qui aurait pu sembler de la science-fiction il y a quelques années devient aujourd’hui réalité sous nos yeux. Et cela touche aussi bien la sphère professionnelle que la sphère privée des utilisateurs. Électroménagers, caméras, objets connectés, voitures toujours plus intelligentes : même les objets sont amenés à communiquer de plus en plus. La question devient à la fois fascinante et inquiétante. Tout appareil connecté, s’il n’est pas correctement géré, devient un point de vulnérabilité potentiel pour la sécurité. Ce module explique comment aborder ce scénario, en proposant des comportements adaptés pour ne pas compromettre la sécurité de la personne ou de l’organisation.
BLUETOOTH & WIFI
Ce module se concentre sur deux technologies essentielles pour garantir la connexion en mobilité et donc la mobilité des personnes. Ce sont deux éléments stratégiques pour la transformation numérique et l’innovation, mais ils comportent des risques qui peuvent être maîtrisés grâce à une utilisation consciente de la part des utilisateurs.
CLASSIFICATION DE L’INFORMATION
La classification de l’information est l’un des facteurs clés dans la gestion de la sécurité des informations, mais aussi l’un des moins compris par les utilisateurs, souvent perçu comme une contrainte inutile. Pourtant, aujourd’hui, la classification des informations est devenue essentielle pour respecter les normes et réglementations sur la protection des données. Ce module, en plus d’expliquer la signification et les raisons qui poussent les organisations à mettre en place des processus de classification, cherche à faire comprendre l’importance d’adapter ses comportements en ce sens. De plus, ce module propose un focus particulier sur une catégorie spécifique d’informations : les INFORMATIONS PERSONNELLEMENT IDENTIFIABLES.
PROTECTION DES DONNÉES
On revient sur le thème de la protection des données, cette fois sous l’angle de la sécurité, et plus précisément de la confidentialité et du lien avec les différentes normes de qualité et de sécurité de l’information, en particulier le RGPD. Ce module peut être considéré comme un rappel « annuel » du module Confidentialité & RGPD, dans une logique de formation obligatoire, même s’il propose des contenus originaux et plus approfondis que ceux du premier niveau.
SOCIAL ENGINEERING 2
À la fin de chaque niveau (année), on revient sur le thème du Social Engineering, c’est-à-dire des techniques d’attaque qui reposent sur la tromperie et la manipulation psychologique pour atteindre des objectifs frauduleux. Ce module, en s’appuyant sur des exemples réels, fournit des éléments supplémentaires de sensibilisation sur les techniques utilisées par les cybercriminels, devenant ainsi la synthèse idéale des points déjà abordés dans les modules du deuxième niveau.
Année 3
CONFIDENTIALITÉ
Nous revenons sur le thème de la confidentialité en approfondissant le sujet et en mettant surtout en avant sa valeur et l’importance de la protéger. L’objectif de ce module est de fournir les outils nécessaires pour comprendre que l’utilisation des technologies numériques, du web et des réseaux sociaux a un coût en termes de perte de vie privée. Une attitude consciente dans ce domaine permet de vivre de façon équilibrée avec l’innovation, sans pour autant sacrifier excessivement sa vie privée.
SOCIAL & CYBERHARCÈLEMENT
On parle des réseaux sociaux pour aborder une urgence sociale particulière : le cyberharcèlement. Comme toujours, nos modules abordent à la fois la dimension personnelle et professionnelle, souvent très imbriquées. Ce module traite donc d’un sujet qui semble réservé à la sphère strictement personnelle, avec une dimension sociale et culturelle. En réalité, au-delà de la sensibilisation culturelle, on verra comment la sous-estimation de certains phénomènes peut aussi avoir des conséquences en matière de sécurité, voire entraîner des dommages juridiques ou d’image pour son organisation.
ASPECTS JURIDIQUES
Dans ce module, nous abordons certains aspects juridiques liés à l’utilisation non maîtrisée des technologies numériques. Violation du droit d’auteur, non-respect des réglementations, utilisation illégale de logiciels, diffamation, ne sont que quelques exemples concrets des risques de commettre des infractions pouvant avoir un impact négatif sur la personne et l’organisation.
EXEMPLES DE FRAUDES RÉELLES
Dans ce module, nous présentons quelques cas réels d’arnaques survenues dans le cyberespace. L’objectif principal est de favoriser la prise de conscience, en montrant à quel point le danger est concret. Le module rappellera également quelques bonnes pratiques qui auraient permis d’éviter de devenir victime d’une arnaque.
ARNAQUES TÉLÉPHONIQUES
Ce module met l’accent sur les attaques dites combinées, qui associent des techniques cyber à des méthodes plus traditionnelles comme l’appel téléphonique classique. Ces modes d’attaque sont particulièrement sournois, car ils visent à briser la méfiance que certains individus développent vis-à-vis des communications électroniques et à renforcer ce sentiment de pression et d’urgence qui pousse souvent la victime à l’erreur.
SÉCURITÉ PHYSIQUE
La sécurité physique contribue également à garantir la protection des individus et des organisations. Par sécurité physique, on entend l’ensemble des mesures nécessaires pour prévenir les accès non autorisés à des locaux, des ressources ou des informations. Bien que la sécurité physique au sein des organisations soit soumise à des réglementations spécifiques, ce module met en avant des règles générales et des bonnes pratiques pour réduire les risques liés à la violation des barrières physiques.
E-COMMERCE
Ce module met l’accent sur un sujet qui n’a été qu’introduit lors du premier niveau de formation. Le sujet est particulièrement sensible, car les risques augmentent, tout comme l’ampleur des dommages potentiels, lorsqu’une activité est directement liée à un flux d’argent, comme dans le cas du commerce électronique. Nous abordons le sujet de manière globale, en tenant compte des différents types de commerce électronique, du B2C au B2B, qui ont un impact plus important sur l’organisation.
VACANCES & DÉPLACEMENTS PROFESSIONNELS
Ce module met l’accent sur un sujet qui n’a été qu’introduit lors du premier niveau de formation. Il s’agit des vacances et des voyages d’affaires, car notre vulnérabilité cyber augmente toujours dans ce type de situation. Nous abordons le sujet en couvrant tout le cycle du voyage – de la planification au retour à la maison ou au bureau – en examinant tous les risques présents à chaque étape.
HYGIÈNE CYBER
Maintenir ses appareils dans un bon état d’hygiène permet d’obtenir de meilleurs résultats en termes de productivité, mais surtout de réduire les risques pour la sécurité des informations. Il est important d’adopter une stratégie de maintenance régulière des appareils, qui inclut aussi la gestion du contenu, donc des données. Ce module fournit une série de bonnes pratiques pour maintenir une bonne hygiène de nos appareils et surtout un contrôle sur les données accessibles via ceux-ci.
SAUVEGARDE & RESTAURATION
Avoir une bonne stratégie de sauvegarde et de récupération des données permet aux personnes, et donc aux organisations, de se protéger contre le risque de subir des dommages en cas de cyberattaque réussie. Ce module vise à sensibiliser à ce qui peut être considéré à tous égards comme une véritable arme de défense, qui nous permet d’éviter que notre appareil ne fasse l’objet d’une demande de rançon, comme c’est le cas lors d’attaques par ransomware, ou de nous retrouver dans la situation d’avoir perdu des données importantes à la suite d’un simple incident technologique.
MEILLEURES PRATIQUES ESSENTIELLES
Tout le parcours de formation est centré sur les bonnes pratiques, entendues comme des comportements vertueux capables de réduire les risques cyber. Ce module résume ce concept en mettant l’accent sur 12 bonnes pratiques qui peuvent réellement aider à diminuer le risque cyber.
INGÉNIERIE SOCIALE 3
À la fin de chaque niveau (bloc de 12 modules), on revient sur le thème de l’ingénierie sociale, c’est-à-dire des techniques d’attaque qui reposent sur la tromperie et la manipulation psychologique pour atteindre des objectifs frauduleux. Ce module, en s’inspirant de quelques exemples réels, apporte des éléments supplémentaires de sensibilisation sur les techniques utilisées par les cybercriminels, devenant ainsi la synthèse idéale des points déjà abordés dans les modules du troisième niveau.