Using Design-Science Based Gamification to Improve Organizational Security Training and Compliance

Posted on by

Référence de l’article :
Silic, M., & Lowry, P. B. (2020). Using Design-Science Based Gamification to Improve Organizational Security Training and Compliance. Journal of Management Information Systems, 37(1), 129–161. https://doi.org/10.1080/07421222.2020.1705512


Mots-clés :
• Contrôle de gestion comportemental
• Performance humaine en cybersécurité
• Gamification (Ludification)
• Design Science Research (DSR)
• Programmes SETA (Formation et sensibilisation)
• Auto-efficacité (Self-efficacy)
• Conformité aux politiques de sécurité


Introduction synthétique :
L’article traite de l’échec des méthodes traditionnelles de formation à la cybersécurité, souvent perçues comme ennuyeuses et inefficaces, laissant les employés comme le “maillon faible” de l’organisation. Le problème de gestion réside dans l’incapacité à prévenir les attaques de phishing malgré des investissements dans des formations classiques. L’objectif des auteurs est de concevoir un système de formation ludifié basé sur des principes de Design Science Research pour accroître la motivation intrinsèque et l’apprentissage. Leur question de recherche examine si un tel système peut induire un changement comportemental mesurable et durable. Le lien avec le contrôle de gestion est établi via le pilotage de la performance humaine et le remplacement des contrôles répressifs par des mécanismes d’engagement intrinsèque.


Annonce du plan :
D’abord nous analyserons le cadre théorique de la motivation et les principes de conception du système ludifié. Ensuite nous examinerons l’impact de ce dispositif sur les capacités de réponse aux menaces des employés. Enfin nous mettrons en évidence les résultats de l’étude de terrain et l’amélioration concrète de la performance organisationnelle face au risque cyber.


Développement structuré :

A. Définitions et concepts clés
• Risque cyber : Focalisé ici sur les comportements négligents des employés, particulièrement face au hameçonnage (phishing).
• Gouvernance des SI : Cadre incluant les programmes SETA (Security Education, Training, and Awareness) pour assurer la conformité aux politiques internes.
• Contrôle interne : Processus visant à motiver des comportements pro-sociaux et protecteurs plutôt que de simplement punir l’abus informatique.
• Motivation intrinsèque : Moteur principal du changement comportemental, opposé aux motivations extrinsèques (récompenses/sanctions) qui n’offrent qu’une conformité temporaire.
• Indicateurs (KPI) : Le taux de réponse correcte aux simulations de phishing réelles (réaction auditable).


B. Enjeux organisationnels et managériaux du risque cyber
• Menaces pour la performance : Le manque de conscience sécuritaire des employés entraîne des échecs de performance et des risques réputationnels majeurs.
• Impact financier et stratégique : Les attaques de phishing réussies sont une porte d’entrée pour des violations de données coûteuses.
• Responsabilité managériale : Il incombe aux gestionnaires de rendre la formation pertinente et non disruptive pour le travail quotidien.


C. Rôle du contrôle de gestion dans la gestion du risque cyber
• Suivi de l’efficacité des formations : L’article démontre que les formations par e-mail (méthode classique) sont futiles et n’améliorent pas la performance par rapport à un groupe sans formation.
• Budgets de cybersécurité : Justification de l’investissement dans des plateformes interactives plutôt que dans des modules de formation passifs.
• Pilotage par l’engagement : Utilisation d’outils comme le HMSAM (Hedonic-Motivation System Adoption Model) pour piloter l’adoption des comportements sécurisés via l’immersion.
• Aide à la décision : Évaluation des niveaux d’auto-efficacité pour déterminer si les employés sont réellement capables de faire face aux menaces.


D. Outils, modèles ou mécanismes évoqués
• Système ludifié : Utilisation d’avatars, de médailles (or, argent, bronze), de tableaux de bord (leaderboards) et d’un “maître du jeu” (gamemaster).
• Méthodes de mesure du risque : Étude de terrain longitudinale de 6 mois avec 420 participants incluant des tests de phishing “aveugles” (natural experiment).
• Modèle théorique : Extension du modèle HMSAM intégrant l’apprentissage et l’efficacité de la réponse.
• Relation de défi approprié : Identification d’une relation en U-inversé entre le défi perçu et l’immersion : un défi trop simple ou trop complexe réduit la performance.


E. Résultats, apports et implications
• Apports théoriques : Première étude longitudinale démontrant que l’immersion ludique mène à un changement de comportement sécuritaire réel.
• Apports pratiques : Le groupe ludifié a montré un taux de réussite face au phishing significativement supérieur (72,7%) par rapport au groupe contrôle (55,3%).
• Impact sur la performance globale : La réduction drastique de la vulnérabilité humaine diminue le risque résiduel de l’organisation.


F. Limites de l’étude
L’étude est limitée à une seule grande entreprise internationale, ce qui peut poser des questions de généralisation culturelle. De plus, elle ne traite pas de la combinaison possible entre motivations intrinsèques et récompenses extrinsèques (primes).


Conclusion :
Cet article est fondamental pour un mémoire en contrôle de gestion car il prouve que le pilotage du risque cyber passe par une transformation radicale de la gestion de l’humain. Il remet en cause l’efficacité des méthodes de contrôle traditionnelles (e-mails, sanctions) au profit d’outils de design comportemental. Pour un mémoire, il fournit une méthodologie rigoureuse pour mesurer le retour sur investissement des programmes de sensibilisation à travers des indicateurs de performance comportementaux concrets.


Références citées dans l’article (Format APA) :
• Agarwal, R., & Karahanna, E. (2000). Time flies when you’re having fun: Cognitive absorption and beliefs about information technology usage. MIS Quarterly, 24(4), 665–694.
• Bandura, A. (1993). Perceived self-efficacy in cognitive development and functioning. Educational Psychologist, 28(2), 117–148.
• Hevner, A. R., March, S. T., Park, J., & Ram, S. (2004). Design science in information systems research. MIS Quarterly, 28(1), 75–105.
• Lowry, P. B., Gaskin, J., Twyman, N., Hammer, B., & Roberts, T. (2013). Taking “fun and games” seriously: Proposing the hedonic-motivation system adoption model (HMSAM). Journal of the Association for Information Systems, 14(11), 617–671.
• Vance, A., Lowry, P. B., & Eggett, D. (2015). Increasing perceptions of accountability through the user interface. MIS Quarterly, 39(2), 345–366.