Les formations traditionnelles de sensibilisation en matière de cybersécurité peuvent parfois devenir une routine : regarder des vidéos, répondre à des questionnaires (parfois de manière répétitive) et recommencer le cycle toutes les quelques années. Mais que se passerait-il si la formation était adaptée à vos compétences spécifiques en matière de détection et de signalement des courriels suspects? Et si elle était proposée dans un format qui vous donnait envie d’y revenir et d’en apprendre davantage?
C’est là qu’intervient Phishducation, une étude à venir sur la sensibilisation à l’hameçonnage et la formation à la cybersécurité. Cette étude fait suite au test alpha réussi de Phooled!, un outil de formation ludifié mis au point par deux chercheurs de l’Université d’Ottawa — Vignesh Kumar Karuppasamy, étudiant à la maîtrise en informatique, et David Knox, professeur à l’École de génie en conception et en innovation pédagogique. Les futures versions de l’outil Phooled! sur la plateforme de recherche Phishducation utiliseront l’IA pour analyser et améliorer la formation en personnalisant les environnements d’apprentissage individuels et multijoueurs. En combinant la formation sur la sensibilisation à la cybersécurité et l’IA, Phishducation vise à créer une expérience plus invitante qui dépasse les méthodes traditionnelles d’apprentissage en ligne.
L’IA offre de nouvelles perspectives
La plupart des formations sur la sensibilisation à la cybersécurité sont conçues pour l’utilisateur moyen ou débutant et peuvent rester inchangées au fil du temps. Avec Phishducation, Vignesh et le professeur Knox espèrent rendre la formation efficace, amusante et mieux adaptée aux utilisateurs individuels ou aux groupes. « Pour inciter les gens à devenir des apprenants permanents, la formation doit leur faire économiser du temps, être efficace et attrayante pour les utilisateurs, mais aussi évoluer avec les stratégies et les méthodes des malfaiteurs », explique le professeur Knox.
C’est là que l’IA sera utilisée pour améliorer l’expérience de l’utilisateur. Comme l’explique Vignesh, « le défi consiste à créer un système de recommandations. Nous savons quels courriels sont problématiques, mais l’étape suivante consiste à associer différents courriels à différents apprenants. Nous essayons d’envisager les choses d’une autre manière. »
Pour pouvoir répondre aux besoins de tous les types d’apprenants et de différents scénarios, l’équipe examinera de grandes quantités de données. De nombreux facteurs seront pris en compte : le type d’apprenant, les modes d’apprentissage et le fait qu’ils réagissent selon l’instinct ou la pensée rationnelle, pour n’en citer que quelques-uns. L’IA jouera un rôle essentiel dans le traitement et l’analyse des quantités de données.
« C’est pourquoi nous allons tenter d’adapter l’IA et les méthodes d’apprentissage automatique pour classer à la fois la difficulté des échantillons de courriels et l’expertise ou l’aptitude des apprenants, dans le but de personnaliser l’apprentissage. Les ensembles préliminaires d’apprentissages ne sont pas très nombreux, et le malfaiteur adapte activement ses attaques pour déjouer les algorithmes de détection de tendances basés sur la machine. Nous voulons utiliser l’IA et les méthodes d’apprentissage automatique pour rendre l’enseignement des personnes, et non des machines, plus efficaces », explique le professeur Knox.
L’apprentissage automatique est une méthode d’IA, souvent basée sur des données et des algorithmes, pour imiter l’apprentissage humain par l’identification de modèles. Cette méthode permet d’identifier des schémas complexes afin de fournir des informations et des prédictions qui pourront être utilisées à l’avenir. Cependant, il a besoin d’un grand nombre d’échantillons de formation correspondant à la « vérité de base », qui doivent probablement être catalogués manuellement. Si un malfaiteur modifie ses tactiques pour éviter d’être repéré par de tels algorithmes, les victimes potentielles (et la plateforme d’enseignement Phishducation elle-même!) doivent également s’adapter en temps réel. Pour personnaliser la formation sur la sensibilisation à la cybersécurité en fonction des différents apprenants, les chercheurs devront recueillir et analyser des données provenant de nombreux types d’utilisateurs à différents moments de leur processus d’apprentissage.
Contribuer à une nouvelle ère d’apprentissage
ers la fin de l’été, l’étude Phishducation sera lancée au sein de la communauté de l’Université d’Ottawa. Elle compte sur des utilisateurs comme vous pour fournir des renseignements sur la façon dont les courriels d’hameçonnage sont identifiés et classés. En participant, vous pouvez contribuer à rendre votre future formation sur la sensibilisation à la cybersécurité à la fois plus amusante et plus interactive. Inscrivez-vous pour recevoir les mises à jour de Phishducation (formulaire disponible en anglais seulement).
Phishducation est une étude menée par la Faculté de génie. Les Technologies de l’information apportent leur soutien sous la forme d’exemples de courriels, de tests et de rétroaction, ainsi que de publicités pour la prochaine campagne Phishducation.