Escape game pour sensibiliser à la cybersécurité en entreprise

La cybersécurité est l'affaire de tous en entreprise, mais les formations classiques (PowerPoint de 2 heures, e-learning soporifique) passent au-dessus de la tête de la plupart des collaborateurs. Résultat : 90% des cyberattaques exploitent une erreur humaine. L'escape game change l'approche en transformant la sensibilisation en défi ludique où les participants vivent les risques plutôt que de les lire sur un slide. Voici comment créer un escape game cybersécurité efficace et mémorable.

Pourquoi l'escape game est le format idéal pour la cybersécurité

L'apprentissage par l'erreur sans conséquence

Dans un escape game, cliquer sur un "faux lien de phishing" n'expose pas les données de l'entreprise : ça fait perdre des points ou déclenche un faux écran d'alerte amusant. Les participants expérimentent les conséquences d'une mauvaise décision dans un cadre sécurisé, ce qui ancre les bons réflexes bien plus efficacement qu'un cours théorique.

L'engagement actif plutôt que passif

Les participants sont acteurs, pas spectateurs. Ils doivent identifier des emails suspects, créer des mots de passe robustes, repérer des failles de sécurité. Cet engagement actif multiplie par 6 la rétention d'information par rapport à une formation passive.

L'effet de groupe

La cybersécurité est souvent perçue comme "le problème du service informatique". Un escape game en équipe montre concrètement que chaque collaborateur est un maillon de la chaîne de sécurité. La responsabilité collective devient palpable.

Scénario type : "Alerte intrusion" (45 min, 8 cadenas)

Contexte narratif

"Un hacker a infiltré le réseau de l'entreprise. Vous avez 45 minutes pour identifier la faille, neutraliser l'attaque et sécuriser les données. Chaque cadenas résolu vous rapproche de la solution... mais attention, certains indices sont des pièges du hacker."

Structure du parcours

Cadenas 1 — Identifier le phishing (mot de passe) Présentez 3 emails : 2 légitimes, 1 phishing. Les participants doivent identifier l'email suspect. Le mot de passe du cadenas est le nom de l'expéditeur frauduleux. Contenu déverrouillé : les indices pour repérer un phishing (URL suspecte, fautes, urgence artificielle).

Cadenas 2 — Décoder le mot de passe (numérique) Un post-it trouvé sur le bureau d'un collègue contient "MonChat2024!". Les participants doivent répondre : ce mot de passe est-il sécurisé ? Le code numérique correspond au nombre de caractères minimum recommandé (12). Contenu : les règles d'un mot de passe robuste.

Cadenas 3 — Repérer l'ingénierie sociale (directionnel) Un scénario d'appel téléphonique suspect est présenté. Les participants doivent identifier les 4 techniques de manipulation utilisées (urgence, autorité, familiarité, peur). Chaque technique correspond à une direction. Contenu : les bases de l'ingénierie sociale.

Cadenas 4 — Sécuriser le Wi-Fi (couleur) Parmi 4 réseaux Wi-Fi affichés (avec des noms comme "WiFi_Entreprise", "Free_WiFi_Guest", "WiFi-Direction", "Starbucks_Free"), les participants doivent identifier les réseaux sûrs par couleur. Contenu : les risques du Wi-Fi public.

Cadenas 5 — La clé USB piégée (code numérique) "Vous trouvez une clé USB dans le parking. Que faites-vous ?" Les participants choisissent parmi 4 options numérotées. Seule la bonne réponse (la remettre au service IT) déverrouille le cadenas. Contenu : les risques des périphériques inconnus.

Cadenas 6 — Chiffrer un message (mot de passe) Les participants doivent utiliser un chiffrement simple (César, substitution) pour encoder un message confidentiel. Le mot de passe est le message chiffré. Contenu : l'importance du chiffrement des données.

Cadenas 7 — Repérer la fuite de données (pattern) Un schéma de réseau est affiché avec plusieurs points de données. Les participants tracent le chemin de la fuite en dessinant un pattern sur une grille. Contenu : comment les données circulent et sortent.

Cadenas 8 — Neutraliser l'attaque (mot de passe final) En combinant les indices des 7 étapes précédentes, les participants reconstituent le mot de passe du serveur central pour couper l'accès au hacker. Contenu de victoire : récapitulatif des 7 bonnes pratiques cybersécurité et certificat de réussite.

Adapter la difficulté par public

| Public | Niveau | Durée | Focus | |--------|--------|-------|-------| | Direction/COMEX | Facile | 30 min | Risques stratégiques, coût d'une attaque | | Managers | Moyen | 45 min | Responsabilité d'équipe, réflexes de signalement | | Collaborateurs tech | Difficile | 60 min | Failles techniques, bonnes pratiques avancées | | Nouveaux arrivants | Facile | 30 min | Bases essentielles, charte informatique | | Tous (sensibilisation générale) | Moyen | 45 min | Phishing, mots de passe, ingénierie sociale |

Créer votre escape game cybersécurité avec CrackAndReveal

Étape 1 : Définir les messages clés

Listez les 5-8 comportements que vous voulez ancrer. Exemples :

• Ne jamais cliquer sur un lien suspect
• Utiliser un gestionnaire de mots de passe
• Signaler immédiatement un email douteux
• Ne jamais brancher une clé USB inconnue
• Verrouiller son poste en partant

Étape 2 : Transformer chaque message en énigme

Chaque bonne pratique devient un cadenas. Le type de cadenas renforce le message : un cadenas mot de passe pour la leçon sur les mots de passe, un cadenas directionnel pour guider les choix, etc.

Étape 3 : Créer le parcours avec un multi-cadenas

Enchaînez les cadenas dans un ordre logique qui raconte une histoire. Chaque cadenas déverrouillé révèle un indice pour le suivant, plus un contenu éducatif.

Étape 4 : Tester et ajuster

Faites tester par 2-3 collègues avant le déploiement. Vérifiez que la difficulté est adaptée et que les messages passent clairement. Consultez nos conseils pour tester un escape game.

Mesurer l'impact de la formation

• Quiz avant/après : Mesurez la progression des connaissances
• Simulation de phishing : Envoyez un faux email de phishing 1 mois après et comparez le taux de clic avec un groupe non formé
• Taux de signalement : Comptez les signalements d'emails suspects (un bon signe si ça augmente après la formation)
• Satisfaction : NPS de la formation (généralement 3x supérieur à une formation classique)

Questions fréquentes

L'escape game cybersécurité est-il adapté aux non-techniques ?

C'est justement son point fort. Les énigmes portent sur des situations quotidiennes (emails, Wi-Fi, mots de passe), pas sur du code ou de l'architecture réseau. Tout le monde peut jouer et apprendre.

Faut-il impliquer le service IT dans la conception ?

Oui, pour valider les messages techniques. Mais la conception des énigmes peut être faite par les RH, la communication ou un manager. Le service IT fournit le contenu, le créateur de l'escape game le transforme en jeu.

À quelle fréquence renouveler l'escape game ?

Créez un nouveau parcours tous les 6 mois pour couvrir de nouveaux risques et maintenir l'engagement. Les menaces évoluent, votre formation aussi. Avec CrackAndReveal, créer un nouveau parcours prend moins d'une heure.

Peut-on l'utiliser pour l'onboarding des nouveaux ?

Absolument. Un escape game cybersécurité de 30 minutes pendant la première semaine d'intégration est bien plus efficace qu'un PDF de charte informatique que personne ne lit.

Conclusion

L'escape game cybersécurité transforme une obligation réglementaire en expérience mémorable. Les collaborateurs retiennent les bonnes pratiques parce qu'ils les ont vécues, pas parce qu'ils les ont lues. Avec un outil comme CrackAndReveal, créer un parcours de sensibilisation personnalisé est accessible à tous, sans compétence technique. La prochaine fois que le DSI demande une formation cybersécurité, proposez un escape game. Vos équipes vous remercieront.

À lire aussi

• Animer un afterwork avec un escape game digital
• Comment organiser un escape game en entreprise
• Escape game pour comprendre la stratégie d'entreprise
• Escape game pour former aux soft skills en entreprise
• Animation de fin d'année en entreprise