Un jeu interactif pour sensibiliser les agents à la cybersécurité créé par l’Agglomération Cannes Pays de Lérins (06) et Rouen Métropole Normandie (76)

En quoi consiste concrètement votre projet et quels en sont les principaux objectifs ?

Qui n’a jamais fait de clic malencontreux, ou constitué un mot de passe trop faible ? Notre projet répond à deux objectifs : sécuriser les systèmes d’information des collectivités tout en suscitant l’engagement des agents.

Nous sommes partis du constat de l’intensification des cyberattaques pour concevoir ce jeu comme une réponse au risque cyber. Nous pensions pour les agents territoriaux, avec pour objectif de renforcer leurs réflexes et bonnes pratiques numériques face à la menace.

Le jeu prend une quarantaine de minutes à compléter et est accessible sur une plateforme en ligne (VTS Editor - Serious Factory et LearnyBox - LearnyGlobal) mise en place par notre partenaire Inniz. Les collectivités peuvent demander un mot de passe pour mettre en place le jeu au sein de leurs équipes.

Grâce à trois scénarios inspirés de cas réels, les utilisateurs sont mis en situation, par le biais de cinq personnages différents (manager, agent de terrain, etc.). L’idée est de montrer que chacun, quel que soit son poste ou sa catégorie, joue un rôle dans la cybersécurité du service public.

Le premier scénario consiste à gérer une crise informatique. Le joueur doit réussir différentes étapes face à un virus introduit par clé USB dans un ordinateur sur son lieu de travail.

Le deuxième scénario sensibilise au risque de l'hameçonnage - une technique de fraude en ligne qui consiste à usurper l’identité d’une personne en obtenant des renseignements confidentiels.

Enfin, un troisième et dernier scénario évoque la qualité et la robustesse des mots de passe, ainsi que les bonnes pratiques à adopter pour les renforcer.

Comment le sujet s’est-il imposé à l’agenda de votre collectivité ?

Nous n’avons pas vraiment inscrit le projet à l’agenda de la collectivité ; nous avons plutôt agi en pensant qu’il existait un réel besoin de montée en compétences dans le domaine de la cybersécurité. À Cannes comme à Rouen, les collectivités avaient déjà été confrontées à des cyberattaques réelles, parfois lourdes de conséquences. Je pense au ransomware (rançongiciel) ayant visé l’hôpital de Cannes en 2024, le ransomware, comme son nom l’indique, étant la demande d’une rançon en échange de données piratées. Les hackers ont publié sur le dark web 61 gigaoctets de données personnelles sensibles de patients et d'agents publics, ainsi que des informations sur le fonctionnement de l'hôpital.

Ces incidents ont mis en lumière le fait que la cybersécurité ne peut pas reposer uniquement sur la technologie. Elle doit aussi reposer sur les agents à tous les niveaux. Par ailleurs, il existe des obligations réglementaires comme la protection des données personnelles, la sécurisation des téléservices ou encore l’hébergement de données sensibles. L’idée était de former les agents à ces différentes obligations et d’amorcer une montée en compétences interne.

Quelles sont les sources d'inspiration que vous avez suivies pour vous faire une idée de ce projet ?

Nous l’avons construit à partir d’expériences vécues, comme celle de l’hôpital évoquée ci-dessus. Un autre exemple de cyberattaque de la Région Normandie : en septembre 2024, leur site internet a fait l'objet d'une cyberattaque par DDoS (déni de service distribué) ayant perturbé son fonctionnement. Cette typologie de cyberattaque signifie que le hackeur prend totalement possession du site en tirant profit des limites du service numérique.

L’inspiration est aussi venue du terrain, d’échanges au sein des réseaux d’innovation territoriaux et surtout d’une rencontre avec la métropole de Rouen. Contrairement à ce que l’on pourrait penser, le projet n’est pas né d’une comparaison de solutions existantes ni d’une étude approfondie de dispositifs similaires.

Malgré la distance, nous nous sommes pris au jeu de cette dynamique collective et créative - grandement facilitée par la mise en réseau des Interconnectés, qui a pour mission d’accompagner la transformation numérique.

Y a-t-il des compétences ou sujets spécifiques à maîtriser avant de se lancer dans ce projet ?

Je pense qu’il faut avant tout penser à l’intelligence collective. C’est probablement la compétence clé qui a permis au jeu de voir le jour.

Le jeu n’a rien d’un projet technologique piloté uniquement par des experts en cybersécurité. L’équipe a misé sur des méthodes très collaboratives comme des ateliers d’idéation, la création de personna (des personnages semi-fictif représentant des personnes qui partagent la problématique du projet), et des tests utilisateurs réalisés en amont.

Côté contenu, les équipes se sont appuyées sur des ressources fiables déjà existantes, notamment celles de l’Agence nationale de la sécurité des systèmes d'information (ANSSI). Nous nous sommes inspirés de leurs contenus pédagogiques SensCyber, en accès libre pour le grand public sur cybergouv.fr. Nous avons même sollicité l’ANSSI pour tester le jeu !

Enfin, un accompagnement externe est tout à fait envisageable pour les collectivités qui n’ont pas suffisamment de compétences en interne. Nous avons eu la chance d’avoir certaines expertises en interne comme l’ingénierie ou encore la responsabilité de la sécurité des systèmes d’information.

Comment avez-vous assuré le bon dimensionnement du projet ?

Nous avons travaillé de façon agile avec la Métropole de Rouen pour façonner le jeu au plus proche de nos futurs utilisateurs : les agents.

L’équipe mobilisée s’est limitée à quatre agents deux de chaque territoire aux profils complémentaires. Du côté de l’Agglomération de Cannes Lérins, nous sommes deux agents de la direction Innovation et Territoire Connecté.

Nous voulions créer un contenu qui ne soit pas trop lourd à “consommer” : nous avons donc uniquement misé sur trois scénarios de mises en situation concrètes, les plus compréhensibles et adaptés au quotidien des agents. Après des recherches, ces scénarios nous ont paru être les trois typologies de situation les plus fréquemment rencontrées quand on parle de cyberattaques.

Comment la collectivité a-t-elle financé ce projet ?

Aucune subvention extérieure n’a été mobilisée pour notre projet. Ce financement a été entièrement assuré par les deux collectivités partenaires et à parts égales.

Le coût total du projet s’élève à 3 000 euros hors taxes, soit seulement 1 500 euros par collectivité. Il couvre aussi l’accompagnement de la société Inniz, une start-up azuréenne spécialisée dans la transformation numérique du secteur public. Les équipes d’Inniz hébergeant le jeu sur une plateforme accessible avec un mot de passe, ce qui permet aux communes qui le souhaitent d’avoir accès au jeu gratuitement.

Ce faible coût peut s’expliquer par une logique de co-construction où l’essentiel de la valeur vient du temps investi bénévolement par les agents qui ont construit le jeu. En choisissant de mutualiser à la fois les moyens humains et financiers, nous avons voulu montrer qu’il était possible de concevoir un outil numérique en mobilisant un minimum de financements publics.

Comment avez-vous envisagé la participation citoyenne ?

Le jeu a été conçu pour être inclusif avec des formats hybrides : il inclut des textes mais aussi des audios et des vidéos ce qui permet aux utilisateurs sourds comme malvoyants d’y jouer.

Nous avons aussi pensé à la flexibilité de l’usage du jeu en l’adaptant à certaines contraintes du quotidien, notamment le manque de temps. Les modules sont suffisamment courts pour permettre à un agent de jouer sur des temps de 5 à 10 minutes. Il est possible de mettre le jeu en pause pour y revenir plus tard sans pour autant perdre sa progression.

En parallèle, nous avons intégré une enquête de satisfaction au jeu qui a permis de récolter les avis dès les phases préliminaires de test.

À noter que la portée du dispositif dépasse les seuls murs de la collectivité : le jeu est mis à disposition des 76 communes membres de l’agglomération Cannes Lérins et de la métropole de Rouen, élargissant son impact à l’échelle du territoire. Aujourd’hui, le grand public ne joue pas directement mais leur sécurité numérique bénéficie déjà des changements de posture engagés chez les agents publics qui les accompagnent au quotidien sur les sujets cybers.

Quels sont les autres acteurs qui vous ont accompagnés dans la préparation ?

Nous sommes trois acteurs : la Communauté d’agglomération Cannes Pays de Lérins, la Métropole de Rouen Normandie et la société Inniz, en charge de la conception technologique et de l’hébergement du jeu. L’équipe du projet est composée de quatre agents territoriaux : un directeur stratégique et une responsable innovation du côté de l’Agglomération, un expert en sécurité informatique et une chargée de la relation usagers du côté de la métropole de Rouen.

Quels conseils donneriez-vous à un élu qui souhaiterait se lancer dans un projet similaire ?

Le premier conseil serait de dépasser l’idée que la cybersécurité est une affaire purement technique. Il s’agit d’enjeux humains et organisationnels. L’implication d’élus sur ce sujet envoie un signal fort, celui de dire que la sécurité numérique est l’affaire de tous, et pas seulement celle des directions des systèmes d’information (DSI).

Le deuxième conseil serait à propos du format. Je pense réellement qu’une approche ludique, comme ici avec notre jeu, est un levier redoutablement efficace. Cela permet de faire passer des messages parfois complexes ou anxiogènes sans dramatiser, tout en favorisant l’engagement et la mémorisation.

Enfin, il est essentiel d’impliquer les agents dès le départ dans une logique de co-construction. En intégrant leurs retours grâce aux tests utilisateurs réalisés avant le lancement du jeu, nous garantissons non seulement l’appropriation de l’outil mais aussi son usage.