Pour former plus de 1 000 collaborateurs dans le monde à la sécurité informatique, l’école de l’informatique Renault a conçu un serious game. Ce sujet sensible était jusque là traité par des formations purement théoriques. La pédagogie interactive du serious game devait permettre une meilleure appropriation des concepts et une réelle expérience de sécurisation de différents types de projets informatiques.

« Nous souhaitions que les chefs de projets, développeurs et maîtres d’ouvrage prennent davantage en compte cette dimension dans la phase de conception des projets », explique Cédric Mullot, spécialiste de la sécurité des systèmes d’information (SI), qui a piloté le projet.

Celui-ci a démarré fin 2011 et son déploiement a commencé au printemps 2013. Après appel d’offres, c’est le prestataire KTM Advance qui a été choisi pour sa compréhension des besoins et son expertise pédagogique et graphique. KTM a accompagné Renault dans la construction du jeu et a proposé une modélisation ludique et claire des concepts liés à la sécurité. La prestation de KTM a coûté environ 100 000 euros. Le département formation de Renault a apporté un appui pédagogique et technique au département informatique. « Cette création de serious game étant une première chez Renault, nous ne savions pas comment les collaborateurs allaient réagir selon leur âge ou leur pratique des jeux vidéo, souligne Cédric Mullot. Il fallait que le jeu soit accessible à tous et permette une progression graduelle. »

Le jeu s’intitule One shot to secure. Les joueurs ont quatre missions à accomplir, dans un environnement de plus en plus complexe et ouvert. La première est de développer un SI de gestion de stock sur l’intranet ; la deuxième est la création d’un site Internet ; la troisième est l’exploitation de données confidentielles en mode Saas et la quatrième est le pilotage d’un ensemble de systèmes d’information reliés entre partenaires, fournisseurs, clients, Internet. Les scénarios du jeu ont été conçus par des spécialistes de la sécurité informatique de Renault : « Les scénarios devaient être à la fois ludiques et proches de la réalité de l’entreprise », souligne Cédric Mullot. Durant toute la conception du jeu, une vingtaine de collaborateurs d’âges et de métiers différents ont testé le jeu, son efficacité et son accessibilité.

Chaque mission se déroule en trois phases. D’abord, l’apprenant découvre un contexte – un décor, des bâtiments, un data center, etc. – et recueille des informations pour identifier les risques présents. Ceux-ci sont liés à la confidentialité (couleur bleue), à l’intégrité des données (rose), à la continuité de service (violet). Dans un deuxième temps, le joueur doit traiter les risques, s’en protéger et choisir des niveaux de protection adaptés dans la limite du budget qu’il a à gérer.

Dans la troisième phase, des incidents et des attaques se produisent pour tester l’efficacité des protections mises en place : un incendie ou un godzilla détruit un data center, un hacker ou une femme de ménage copie des données, etc. « Lorsque le joueur a mal jaugé le risque et doit ajouter un niveau de protection, cela lui coûte plus cher que s’il avait anticipé », précise Cédric Mullot. À chaque étape, l’apprenant est évalué, gagne une médaille de bronze, d’argent ou d’or, et suit un débriefing complet. Tout au long du jeu, il reçoit des informations orientées métier et process par un spécialiste de la sécurité et peut accéder à des ressources complémentaires disponibles en ligne.

Depuis avril 2013, environ 500 collaborateurs ont été formés. En présentiel, un formateur rappelle les concepts de la sécurité informatique, présente le serious game et accompagne les salariés, par groupe de huit, dans la réalisation de la première mission. Ces derniers sont ensuite invités à terminer le jeu quand ils le souhaiteront, en mode e-learning, en comptant dix à vingt minutes par mission. « Nous les incitons à rejouer pour améliorer leur score, mais nous ne pouvons pas contrôler les scores réalisés, par respect de la vie privée. »

Avec un taux de 95 % de satisfaction des personnes formées, Renault estime que la formule répond aux attentes d’une formation plus pratique, ludique et dynamique. « Nous verrons d’ici à quelques mois si la dimension sécurité a été davantage prise en compte dans les projets que nous contrôlons », ajoute Cédric Mullot. Renault va maintenant faire traduire le jeu en anglais afin de le déployer auprès de 500 à 1 000 collaborateurs basés à l’étranger.

• Activité : automobile.

• Effectif : 127 086 salariés.

• Chiffre d’affaires : 41,3 milliards d’euros en 2012.