Les « serious games » au service de la formation à la sécurité

le 25/11/2010 L'AGEFI Hebdo

Lutte contre le blanchiment, le piratage informatique, autant de domaines critiques pour lesquels les banques misent sur les jeux pour sensibiliser les collaborateurs.

Nous travaillons tous sur des problématiques de sécurité, tout le monde est sensibilisé, et pourtant, régulièrement, il faut rappeler un certain nombre de bonnes pratiques. C’est inhérent à la nature humaine », constate Thierry Autret, RSSI (responsable sécurité des systèmes d’information) du groupement Cartes Bancaires. Si cet organisme de gouvernance ne gère pas directement les systèmes de transactions ultra-sécurisés liés aux paiements par cartes, il possède néanmoins quelques applications métiers utilisant des données sensibles, comme celles ayant trait à la lutte contre la fraude. Et dans le cadre de formations à la sécurité des systèmes d’information, Thierry Autret utilise depuis un an un serious game, une technologie de formation dérivée des jeux vidéo, afin de maintenir la concentration des collaborateurs.

Il a retenu le jeu de l’éditeur français Conscio Technologie. Sensiwave, c’est son nom, est une application accessible en ligne et configurable par le formateur, regroupant des mises en situation (contrôle d’accès physique, utilisation d’une clé USB trouvée, téléchargement depuis le PC professionnel...) assorties de quizz. Le caractère ludique permet justement de mieux faire passer les messages et d’impliquer les collaborateurs. « Ils peuvent plus facilement trouver un créneau de deux ou trois minutes pour se former, mais il faut que cela reste ludique », précise Thierry Autret. Les taux de retours sont bons, plus de 65 % pour la campagne 2010, et le RSSI aimerait passer à deux campagnes annuelles à partir de 2011. De même, selon Christian Gayton, président de la société lyonnaise Qoveo, éditrice d’un serious game pour la sensibilisation aux pertes de données sensibles, « pour de tels contenus, plutôt ennuyeux pour les professionnels concernés, c’est en les sortant du contexte que l’on fait oublier le côté rébarbatif ».

Ce jeu retrace les aventures de Casey Warren, détective privé dans un univers graphique rappelant celui du long métrage Qui veut la peau de Roger Rabbit ? Une importante chambre professionnelle de gestionnaires de patrimoine devrait le déployer en 2011, ces spécialistes du conseil étant attentifs aux conséquences d’une perte de données sensibles relatives à leurs clients. « La clé est de maintenir le niveau d’attention des joueurs, il faut leur raconter une histoire. Et cela de façon rythmée », insiste Edouard Choupot, de la société Just In Rôle, expert en sécurité dans les projets de sensibilisation et qui a participé à la mise au point du jeu de Qoveo. Aussi les aventures de Casey Warren comprennent-elles une douzaine d’épisodes pour une durée de jeu de cinq ou six minutes chacun. Ce qui permet d’étaler des campagnes de sensibilisation sur deux ou trois mois. « Il faut créer une certaine forme d’addiction pour les joueurs, qui maintienne un niveau d’attention permettant d’accompagner la conduite du changement », souligne Christian Gayton. Qoveo fournit également un jeu de sensibilisation aux problématiques réglementaires liées à la directive MIF (Marchés d’instruments financiers) et à l’obligation d’établir un profil des clients investisseurs. Axa Prévoyance et Patrimoine, après une phase pilote débutée en 2009 dans la région Sud-Est, devrait élargir l’expérimentation à tout l’Hexagone. BPCE a formé 7.000 chargés de clientèle par ce biais depuis 2007.

Solution en « e-learning »

Toujours dans le domaine réglementaire, le CFPB (Centre de formation de la profession bancaire) travaille sur un jeu sérieux pour sensibiliser tous les personnels du secteur - soit 400.000 utilisateurs potentiels - à la lutte contre le blanchiment d’argent (LAB). En réponse à la transposition en droit français, en janvier 2009, de la troisième directive européenne contre le blanchiment, le CFPB a décidé de créer un nouveau bagage de formation plutôt que d’actualiser l’existant. « Nous avons choisi de renouveler nos outils pédagogiques pour prendre en compte le changement d’approche réglementaire, basée désormais sur la gestion des risques, et délivrer une formation plus motivante et plus ludique », raconte Gilles Macchia, directeur R&D du CFPB. Courant 2008, un cahier des charges a été rédigé par le CFPB et accepté par neuf groupes bancaires à l’époque : Société Générale, BNP Paribas, Fortis Banque, Banque Populaire, Caisse d’Epargne, Natixis, Crédit Agricole, la CDC et Allianz banque. Il prévoit une solution utilisable en e-learning et en vis-à-vis, différenciée selon les publics visés (banque de détail, privée et d’investissement).

Le CFPB prévoit alors deux modules pédagogiques : le premier, basé sur l’apprentissage et s’appuyant déjà sur le principe du jeu, consiste à faire réfléchir les apprenants sur le blanchiment. Plusieurs dizaines de milliers de personnes ont déjà suivi la formation de premier module. Le second module est un serious game de mise en situation. « Nous avons retenu quinze cas pratiques issus de situations professionnelles véritables, pour la plupart des opérations de clients atypiques ayant entraîné une déclaration Tracfin », explique Gilles Macchia. Pour chaque cas, l’apprenant doit détecter des indices, enquêter, prévenir ses supérieurs, prendre des décisions. Il gagne des points en fonction de ses actions concluantes. « Nous avons imaginé le jeu en 2009, retrace Gilles Macchia. Avoir une lecture commune à tous les participants de la réglementation et la traduire en processus illustrant des bonnes pratiques a été long. » Début 2010, un prototype est mis au point avec tous les éléments nécessaires : le scénario prévoyant la validation des indices trouvés ou non pour passer à l’étape suivante, les modèles d’entretien avec le client, les documents d’enquête (tableaux de bord des comptes d’une entreprise, historiques de la relation client, rapport de la centrale risques de la Banque de France...).« Depuis le mois d’octobre, nous entrons dans une phase de production des quinze cas pratiques, l’ensemble sera livré au cours du premier semestre 2011 », annonce Gilles Macchia.

Projet ambitieux

Le développement a été confié à la société nîmoise Solunea. Celle-ci a mis au point la solution Agam (application de gestion et d’actualisation des modules), accessible en ligne : « Chaque cas est décliné en trois modes : libre, accompagné, guidé, et l’ensemble est regroupé dans une bibliothèque, détaille Gilles Macchia. Les responsables de formation puisent dans cette bibliothèque et, grâce à Agam, constituent des parcours de formation différents en fonction des profils des collaborateurs à former et les exportent ensuite sous un format compatible avec leur plate-forme ‘e-learning’ ou sous la forme d’une application directement exécutable sur le poste de leurs stagiaires ou encore sur un intranet. » Un projet ambitieux qui reviendrait à moins de 800.000 euros et sera décliné pour les assureurs qui devraient disposer du premier module d’apprentissage dès novembre 2010. L’AFG (Association française de la gestion d’actifs) serait également sur les rangs pour former les gestionnaires d’actifs.

A lire aussi