La pratique et les exercices comme élément fondamental d’une posture numérique à l’épreuve des hackers

eLearning Expert Talks/Security Awareness
31 juillet 2023
Pratica ed esercizi

Troisième et dernier rendez-vous (pour l’instant…) avec Maurizio Zacchi (ici la première et la deuxième interview), directeur de la Cyber Academy de Cyber Guru.

Tout le monde aura vécu personnellement la différence entre la théorie et la pratique dans un parcours d’apprentissage.

Apprendre la théorie est une première étape nécessaire.
Surtout pour notre approche occidentale habituée à nourrir la partie mentale de la connaissance. C’est d’ailleurs ce qu’on nous a enseigné dès notre plus jeune âge. À lire, à écouter, à étudier, peut-être même à répéter ce qui nous était transmis.

Cependant, il existe un type de connaissance qui repose sur une approche pratique, faite d’exercices et de confrontation concrète avec la matière que, surtout pour certains domaines, on ne peut pas penser à négliger. Pour ne citer que quelques exemples, il est difficile d’imaginer qu’un musicien ne puisse s’exprimer au mieux qu’en étudiant l’histoire de la musique ou en apprenant par cœur une partition. Ou qu’un chef ne peut réussir qu’en lisant des livres de cuisine.

Malheureusement, souvent dans nos modèles de formation, ces deux approches sont séparées et il arrive que la formation ne soit jamais complète et qu’il y ait toujours une partie de connaissance qui manque.

Un discours qui est d’autant plus valable pour les adultes qui exercent déjà une profession et qui ont peu de temps, peu de disponibilité mentale, et qui pensent qu’ils ne peuvent apprendre quelque chose de nouveau qu’en lisant quelques dispenses ou en écoutant une leçon théorique.

La mauvaise nouvelle est que cette unilatéralité ne fonctionne pas. Nous pouvons énumérer une grande quantité de notions théoriques et peut-être même les présenter sous la bonne forme, mais si nous n’insérons pas dans le parcours de formation de l’expérience sur le terrain, la formation ne sera jamais efficace.

La bonne nouvelle est que les bons formateurs le savent et sont très attentifs à ne négliger aucune des deux approches.

Un discours d’autant plus vrai que l’on parle de formation à la cybersécurité, un apprentissage particulier composé d’une partie théorique importante, mais aussi d’une partie pratique déterminante et d’exercices, sans lesquels il ne peut y avoir de certitude d’être prêt à faire face à la menace cyber de plus en plus insidieuse, car elle est constamment mutante et trouve toujours de nouvelles façons de briser les vulnérabilités humaines et le manque d’habitude de gérer le flux continu de problèmes.

Pour construire la compétence nécessaire pour rendre un utilisateur pleinement conscient, qui peut tirer le meilleur parti des opportunités de la dimension numérique en minimisant les risques pour sa sécurité et celle de son organisation, nous devons développer toutes les compétences nécessaires, en agissant sur le savoir, qui est lié à la connaissance, sur le savoir faire, qui est lié à la pratique et à l’expérience, et sur le savoir être, qui est lié aux comportements.
L’intégration entre différents parcours, dans une logique de formation continue et de mise à jour permanente, est la base pour soigner le savoir tout entier, ayant pour objectif de développer la quatrième compétence, celle du savoir devenir, en promouvant un état d’auto-observation et d’auto-réflexion.

L’importance de la « pratique » dans la formation

Maurizio Zacchi, responsable de la formation de Cyber Guru, explique l’importance de la formation pratique et de la formation continue pour réussir à arrêter les attaques qui arrivent de fronts, toujours différentes et inattendues.

« Surtout pour les e-mails de phishing, dit-il, nous nous sommes rendus compte qu’une grande différence dans le niveau de préparation des individus est la conséquence d’un exercice systématique et toujours différent. Cela met concrètement à l’épreuve l’apprentissage des notions théoriques et conduit dans la plupart des cas à cette modification permanente du comportement qui doit être le résultat d’une formation efficace. Pour cette raison, une partie fondamentale de notre formation est constituée par l’envoi, évidemment par surprise, d’e-mails contenant des pièges de différents types et proportionnés au niveau de préparation de l’apprenant. Autrement dit, selon la façon dont ce dernier réagira de temps dans les temps à la simulation de l’escroquerie, on lui enverra des courriels de phishing ultérieurs qui le mettront face à des défis de plus en plus ardus, ou en tout cas répondant à son niveau d’apprentissage. »

En fait, il s’agit d’une formation ad personam qui, précisément parce qu’elle est fondée sur l’expérience personnelle, est la plus efficace pour apporter des résultats permanents dans la modification du comportement. Un processus adaptatif qui permet de « personnaliser » le parcours de formation.

Gamification

À ce type d’exercices, Cyber Guru ajoute également une partie ludique, de jeu, à travers laquelle les employés de l’entreprise peuvent s’amuser et se défier sur le terrain glissant de la cybercriminalité. Un élément qui augmente considérablement la motivation et le désir de se mettre à l’épreuve.

Mais une chose est sûre : Cyber Guru a bien compris que la formation à la cybersécurité doit sortir des cages ennuyeuses et de plus en plus étroites des parcours de formation classiques des entreprises qui, le plus souvent, soumettent pendant des jours entiers les pauvres employés à un tour de force des notions et des théories qui finissent presque toujours par être oubliées après quelques jours. Il s’agit d’un effort inutile pour les employés, d’un mauvais investissement pour l’entreprise ainsi que d’une exposition dangereuse au risque d’escroquerie informatique, car la matière voit une évolution très rapide et de plus en plus difficile.

Pour lutter contre la cybercriminalité, il faut une formation révolutionnaire

Pour cette raison, la formation de Cyber Guru peut être considérée comme révolutionnaire, car elle rassemble les indications provenant des théories d’apprentissage les plus avancées et les organise en parcours de formation progressifs, efficaces et personnalisés.

Pour les trois premières années, il est prévu une véritable école organisée avec une formation d’environ une demi-heure par mois qui mélange habilement connaissances théoriques, expériences pratiques personnalisées et activités ludiques. Dans cette phase, on apprend tout ce qu’il y a à savoir sur le sujet et on devient maître de la matière, en laissant à chacun la liberté de gérer et d’assimiler son parcours de formation à son rythme.

Après cette période commence la phase d’entretien, car la mémoire est maintenue par la répétition et l’exercice, en continu. Et aussi parce que nous parlons d’un sujet en constante évolution et qui ne peut certainement pas être relégué à une ou deux journées de formation au cours de l’année.

Pour cette raison, à partir de la quatrième année, Cyber Guru ne prévoit plus l’approche didactique, mais un chemin personnalisé, qui est organisé de temps en temps en fonction des commentaires de chaque élève. Si ce dernier démontre qu’il connaît ce sujet, il peut avancer dans un parcours de renforcement de ses connaissances, dans le cas contraire nous lui proposons un parcours de réorganisation, jusqu’à l’assimilation complète.

Tout cela se fait par le biais de vidéos interactives qui, cependant, n’engagent pas les employés pendant plus de 30 minutes chaque mois.

Pour rendre le parcours de formation encore plus attrayant, des jeux sérieux sont également organisés durant lesquels l’apprenant est soumis à une série de questions et de problèmes à résoudre, sur le modèle de l’Escape Room. Si vous devinez et surmontez les défis, vous pouvez sortir de la pièce, complétant avec succès votre propre parcours.

« C’est un modèle, explique Maurizio Zacchi, basé sur le processus adaptatif, construit avec des algorithmes d’intelligence artificielle, qui permet une adaptation automatique du parcours de formation au niveau de connaissance et de capacité de l’apprenant. C’est le dépassement définitif d’un concept de formation traditionnel, qui a montré toutes ses limites au sein de l’entreprise. »

Abonnez-vous à la newsletter

Articles connexes

Arnaque par SMS : un éternel recommencement

Arnaque par SMS : un éternel recommencement

Le dernier cas de smishing ravive une peur qui ne doit jamais s’éteindre Plus que des armes, des visages cachés, des fuites rocambolesques et des actions dangereuses. Aujourd’hui, pour vider un compte courant, il suffit d’envoyer un SMS. La dernière victime en date a...

lire plus