Héros accidentels: Comment un scaleup pivoté vers le cyber

Date avec un cybercriminel

Vivida a créé sa première formation en sécurité VR en collaboration avec le géant des médias Sky. Dans l’expérience – décrite comme allant à une date avec un cybercriminel – les stagiaires se retrouvent face à face avec un acteur malveillant virtuel avec lequel ils commencent à s’engager. Au fur et à mesure que la date passe, le criminel commence à briser leur méthodologie, et leur identité, que vous allez plus loin dans leur monde.

« Nous saturer temporairement, ou détourner, les sens humains », dit Quarrie. « Ous sommes en mesure d’utiliser presque tous avec cette histoire. C’était vraiment puissant, et voir la réponse à elle était génial.

Un deuxième engagement avec Barclays a vu la création – loisirs, plutôt – du centre d’opérations de sécurité (SOC) du groupe bancaire dans lequel les stagiaires ont été placés pour trier un incident de cybersécurité de rupture, et finalement remettre les choses sous contrôle. Un autre engagement a vu l’équipe construire un centre de contrôle de mission web sombre, où les stagiaires jouent le rôle d’infiltrés « agents » infiltrer et perturber un groupe cybercriminel.

« Nous nous demandions : créons-nous quelque chose qui est basé sur la vie réelle ? » dit Quarrie. « ais alors nous étions comme, eh bien en fait, parce que c’est VR, nous allons donner aux gens une aventure – nous allons les envoyer dans un environnement si mémorable qu’ils n’ont pas connu avant. »

« onnons aux gens une aventure – nous allons les envoyer dans un environnement si mémorable qu’ils n’ont pas connu avant »

Siméon Quarrie(Vivida)

Selon Quarrie, ce genre d’exercice est plus efficace pour imprimer pourquoi la sécurité est importante pour les stagiaires, de sorte que même s’ils sont par la suite forcés de s’asseoir à travers un exercice de conformité PowerPoint horrible, le sujet semble alors plus immédiat.

Cette approche semble également coller, ainsi – un problème permanent avec la formation traditionnelle de sécurité, qui tend à dribbler hors de votre cerveau après quelques semaines, laissant votre employeur au même endroit qu’ils ont commencé. Ce n’est pas un problème ici, dit Quarrie.

« Après avoir parlé à certaines personnes, dans certains cas, un an après avoir vécu cette expérience, elles en parlent encore parce que c’est tellement mémorable », dit-il.

« e que nous avons fait avec l’expérience est en fait aider à visualiser l’autre côté [ie a cyber criminal’s point of view] et montrer ce qui se cache derrière l’e-mail de phishing, ce qui se passe, nous allons rencontrer les individus et de comprendre leur motivation.

« Par conséquent, lorsque vous passez par la vie quotidienne, vous avez maintenant un crochet mental auquel vous faites automatiquement référence. »

Pivot pandémique

Puis, en janvier et février 2020, les nouvelles ont commencé à filtrer hors de Chine d’une nouvelle souche de coronavirus qui se propage rapidement. En mars, le SRAS-Cov-2 et la maladie qu’il cause, Covide-19, étaient devenus une véritable urgence mondiale, et le 23 mars, le Royaume-Uni est entré dans un verrouillage complet pour contenir sa propagation.

La transition vers le travail à distance a été un problème pour Vivida, car il est clair que la VR est une technologie basée sur la présence. « Si je suis honnête, nous ne devrions presque plus être ici, parce que nous travaillons avec une technologie qui est presque un sport de contact », dit Quarrie. « Ce qui est brillant avec la VR, c’est que vous avez des gens dans la pièce et que vous avez tous des casques d’écoute.

« Maintenant, nous allons revenir à l’utilisation de cette technologie à pleine capacité, mais ce que nous devions faire très rapidement, c’était comprendre comment le monde avait changé et avec quoi les organisations allaient être aux prises – essentiellement, comment pouvons-nous obtenir des informations sur leurs appareils mobiles et leurs ordinateurs portables ? »

Plus important encore, cela devait être fait d’une manière qui n’a pas ajouté à la tension et la peur que les gens se sentent à travers une crise qui est sans précédent dans la mémoire vivante. Après tout, beaucoup de cybersécurité pourrait être appelé des choses assez effrayantes, et le déplacer au-delà des limites du réseau d’entreprise, où la plupart des gens pensent au cyber-risque comme le problème de quelqu’un d’autre (c’est à dire le département informatique), à leurs tables de cuisine ou chambres de rechange montre que la maison n’est pas un espace sûr non plus.

« Nous devons faire face à l’équilibre entre la santé mentale des gens, alors nous savions que nous devions faire passer ces choses aux gens d’une manière qu’ils apprécient, mais c’est toujours percutant et mémorable », dit Quarrie.

Le grand défi dans cet exercice a été de construire un sentiment d’immersion dans le récit, comme vous pourriez vous sentir dans un programme de VR.

« Cela peut se faire de plusieurs façons, dit M. Quarrie. « L’un d’eux est que vous pouvez être immersif avec le contenu pour que vous soyez attiré, et c’est là que la structure et la science de la narration entrent en jeu. L’autre façon est de faire en sorte que la technologie et d’avoir des interactions dans l’environnement.

Quarrie et son équipe ont abordé cette question en utilisant les mêmes ingrédients éprouvés qu’ils utilisaient dans leurs programmes de VR – contes, gamification et saupoudrage d’humour. Ils ont créé un simulateur de formation « holodeck » de style Star Trek qui charge différents scénarios pour les stagiaires. L’un de ces (photo ci-dessus), est une configuration de bureau à domicile pour explorer les nouveaux risques de travail à distance pendant la pandémie. Un autre est un simulateur de phishing.

Ils sont accessibles aux utilisateurs des clients non pas sur une plate-forme propriétaire appartenant à Vivida, mais via le système d’apprentissage préféré du client, et l’espoir est qu’ils seront tout aussi engageant que l’itération VR.

« L’une des choses les plus difficiles pour les organisations est d’amener les gens à s’engager dans le contenu », explique M. Quarrie. « Je pense que lorsque vous êtes dans un environnement d’entreprise, il y a une certaine éthique qui signifie que vous acceptez peut-être davantage le contenu sec. Mais quand vous êtes à la maison et que vous avez Netflix, vous avez votre PlayStation, tout d’un coup vous vous attendez à ce que la norme résonne avec cet environnement domestique, et c’est essentiellement ce que nous essayons maintenant de faire.

Collaboration et soutien

Au cours de l’année 2020, Vivida a été soutenue tout au long de son développement et pivot par le London Office of Rapid Cybersecurity Advancement (Lorca), un incubateur spécialisé en matière de sécurité, dont les diplômés ont obtenu des millions de dollars au cours des dernières années.

Les jeunes entreprises qui passent par le programme de 12 mois de Lorca, qui travaille actuellement avec sa cinquième cohorte de 17 entreprises, ont accès à des services de conseil en innovation et en commercialisation, à des services de développement de produits et à l’accès à l’industrie, ainsi qu’à des partenaires comme le Centre for Secure Information Technologies (CSIT) de l’Université Queen’s de Belfast et Deloitte.

C’est un collègue qui a d’abord porté le projet à l’attention de Quarrie, mais au début, dit-il, le scepticisme a commencé. Voudraient-ils un pourcentage de l’entreprise? Qu’est-ce qu’il y avait derrière tout ça ? Quels étaient leurs motifs ?

« En tant qu’entrepreneur noir, l’une des choses que j’ai vues, c’est que vous avez parfois du mal à accéder aux bons endroits, aux bonnes pièces, vous n’êtes même pas parfois au courant de certaines des pièces qui existent, ou d’une partie des connaissances qui sont là et dans lesquelles vous pouvez puiser », dit-il.

« culturellement, j’ai eu l’impression que personne n’est là pour vous aider. Vous avez juste besoin de greffer, et vous avez besoin de travailler à elle.

Quarrie a rencontré Lorca de toute façon, ce qui l’a mis en contact avec l’un de ses premiers clients, Lloyds Banking Group, pour qui il a créé l’un de ses scénarios originaux comme un exercice de preuve de concept. Vivida a fini par être invité à rejoindre ce qui était alors Lorca’s prochaine quatrième cohorte.

« J’ai réalisé que, non, en fait, ces gens sont là pour m’aider », dit-il. « t cela, pour moi personnellement, a été un changement d’esprit massif. Il a vraiment été bénéfique.

« Avant, tout était axé sur la technologie, mais maintenant nous avons aussi un œil sur l’échelle et l’évolutivité et être en mesure d’obtenir notre contenu là-bas, et quand la pandémie a frappé, d’être au milieu du programme et de pouvoir également tirer sur ces ressources comme Deloitte, pour obtenir leurs idées, comme nous le faisions, était fantastique. »

Revenant sur son parcours dans le monde de la cybersécurité, Quarrie dit avoir été particulièrement frappé par la nature collaborative du secteur. De par sa nature, dit-il, Vivida est une organisation collaborative elle-même – ses scénarios de formation ont été élaborés en travaillant aux côtés de chaque client, à un mémoire spécifique.

« C’est pourquoi j’ai une certaine affection pour ces marques avec lesquelles nous avons travaillé parce que chacune d’entre elles a contribué à notre parcours, et d’une certaine façon, ils ont laissé ce don derrière lui qui nous permet de continuer à croître et nous permet de profiter à d’autres personnes », dit-il.

« C’est ce que j’ai aimé dans l’industrie de la cybersécurité. On n’a pas l’impression qu’il y a des concurrents. On a l’impression que tout le monde se déplace ensemble pour trouver des choses à surmonter ces menaces communes. J’ai vraiment adoré ça. Je n’ai jamais emménagé dans un nouveau secteur industriel et j’ai été accueilli aussi chaleureusement.

La plate-forme de formation en ligne de Vivida a été lancée en septembre 2020, et les parties intéressées peuvent s’inscrire pour une démo complète en ligne.