Chocoblast : sensibiliser à la sécurité informatique par le jeu

Vous venez de quitter votre bureau pour aller chercher un café. Votre ordinateur est resté déverrouillé. En revenant, un message a été envoyé depuis votre boîte mail à toute l'équipe : vous ramenez des pains au chocolat demain matin. Bienvenue dans le monde du Chocoblast.

Son histoire

Le Chocoblast est apparu en 1998 en Suisse suite à la non-qualification de l'équipe nationale de football à la Coupe du Monde. La célèbre marque suisse Milka, a senti une baisse de ses ventes de chocolats. C'est alors que le chocolatier a élaboré une stratégie pour que les pains au chocolat ne soient plus seulement un achat plaisir, mais également une « punition ». Et quoi de mieux pour cela que d'infiltrer les entreprises ?

Depuis, le concept a largement dépassé les frontières helvétiques. Adopté par des entreprises de toutes tailles en France, en Belgique et au-delà, le Chocoblast est devenu un véritable rituel dans de nombreuses équipes techniques. Ce qui a commencé comme un coup marketing est devenu un outil de sensibilisation à la sécurité informatique reconnu et apprécié, précisément parce qu'il ne ressemble pas à une formation classique.

Son but : protéger l'accès aux ordinateurs !

Le concept est assez simple et ludique ! Si un collaborateur laisse son ordinateur déverrouillé alors qu'il quitte la pièce, un(e) de ses collègues peut le chocoblaster. Pour ce faire, il n'aura qu'à ouvrir la boîte mail, le Teams ou le Slack de la cible et envoyer un message à tous les autres collaborateurs en annonçant ramener des pains au chocolat (et comme nous sommes dans le nord, chez nous, c'est les petits pains).

Le chocoblasté doit alors amener des petits pains dans les 10 jours suivant le crime, à ses frais. Cela permet en plus de passer un moment convivial en équipe !

Comment ça se passe concrètement

En pratique, le Chocoblast se déroule en quelques secondes. Le collègue repère un poste déverrouillé et non surveillé. Il s'assoit, ouvre le client de messagerie ou l'outil de communication interne, et rédige un message court et joyeux du type : « Bonjour à tous, demain matin c'est moi qui régale, je ramène les petits pains ! ». Le message est envoyé à l'ensemble de l'équipe, parfois avec une touche d'humour personnelle. Le tout prend moins de trente secondes, exactement le temps qu'il faudrait à une personne malveillante pour accéder à des données sensibles.

Certaines équipes vont plus loin en ajoutant une photo prise avec la webcam du poste, en changeant le fond d'écran par une image humoristique, ou en modifiant temporairement la signature de mail. Ces variantes restent toujours bienveillantes et ne doivent jamais causer de tort réel. L'objectif est de marquer les esprits sans jamais humilier, pour que la leçon soit retenue dans la bonne humeur.

Sécurité et prise de conscience

Nous vous invitons à adopter ce jeu ludique, qui permet de sensibiliser toute l'équipe sur les risques de fuite des données. En fait, dès que vous quittez votre poste non verrouillé, cela représente un danger pour l'entreprise car vous avez sur vos ordinateurs un port USB, des fichiers sensibles, des mails, des coordonnées accessibles qui peuvent servir des desseins malveillants. On parle principalement d'espionnage industriel, d'usurpation d'identité, de social hacking, et donne lieu à tout autre sorte de hacks pouvant nuire à vous et à l'entreprise.

Le but de ce jeu est d'amener les collaborateurs à prendre l'habitude de verrouiller leurs ordinateurs dès qu'ils ne sont plus devant ou ne peuvent plus le surveiller. C'est pour cela que des règles très précises ont été mises en place.

Les menaces derrière un poste déverrouillé

Un ordinateur non verrouillé dans un open space, même pendant deux minutes, ouvre la porte à des scénarios bien réels. Un visiteur, un prestataire ou même un collègue mal intentionné peut en quelques instants copier des fichiers sur une clé USB, consulter des documents confidentiels, accéder à des mots de passe enregistrés dans le navigateur ou envoyer un mail frauduleux au nom du collaborateur absent.

Dans le cadre du social engineering, un attaquant peut exploiter un poste ouvert pour installer un logiciel espion, modifier des paramètres de sécurité ou accéder à des systèmes internes auxquels la victime a des droits. Les conséquences peuvent aller de la fuite de données clients à la compromission complète du réseau de l'entreprise. Le Chocoblast rend ces risques tangibles en démontrant, de manière inoffensive, à quel point il est facile d'agir sur un poste non protégé.

Quelques règles

• L'ensemble des collaborateurs doivent être destinataire du message écrit
• Le chocoblasteur, s'il est pris en flagrant délit, devient le chocoblasté
• Il est impossible de pranker une personne si elle est toujours dans la pièce ou si son ordinateur est en train de réaliser une tâche longue et complexe et qu'il n'a pas pu le verrouiller pour cette raison

Adapter les règles à son équipe

Chaque entreprise peut enrichir ces règles de base selon sa culture et son organisation. Certaines équipes instaurent un délai de grâce de quelques secondes après le départ du bureau, pour éviter les chocoblasts abusifs lorsque quelqu'un se lève juste pour attraper un document à l'imprimante. D'autres définissent des zones protégées, comme les salles de réunion où l'on présente un écran partagé.

Il est aussi courant de tenir un tableau de scores, affiché dans l'espace commun ou sur un canal dédié, qui recense le nombre de chocoblasts reçus et donnés par chaque membre de l'équipe. Ce classement, purement humoristique, entretient la dynamique de jeu tout au long de l'année et crée une émulation positive autour de la vigilance.

Un complément aux formations formelles

Le Chocoblast ne remplace pas une vraie politique de sécurité informatique. Les formations classiques, les chartes informatiques et les audits de sécurité restent indispensables pour couvrir l'ensemble des risques : phishing, gestion des mots de passe, mises à jour logicielles, sauvegardes ou encore conformité RGPD.

Mais là où ces dispositifs formels peuvent parfois être perçus comme contraignants ou rébarbatifs, le Chocoblast agit sur un levier différent : la mémoire émotionnelle. On retient bien mieux une leçon apprise dans un éclat de rire qu'une consigne lue dans un document de trente pages. Le collaborateur qui s'est fait chocoblaster une fois n'oublie plus jamais de verrouiller son poste. Le réflexe devient automatique, ancré dans une expérience vécue plutôt que dans une obligation théorique.

En combinant le Chocoblast avec des sessions de sensibilisation régulières, on obtient une approche complète : la formation apporte les connaissances techniques, et le jeu transforme ces connaissances en habitudes quotidiennes. C'est cette complémentarité qui fait la force d'une culture de sécurité durable au sein d'une équipe.

L'impact sur la culture d'équipe

Au-delà de la sécurité pure, le Chocoblast contribue à créer un environnement de travail plus soudé. Les matinées petits pains deviennent des moments de partage où l'on échange, où l'on rit de la mésaventure du chocoblasté, et où l'on renforce les liens entre collègues. Dans une époque où le télétravail peut parfois isoler les collaborateurs, ces rituels collectifs ont une valeur précieuse.

Le Chocoblast installe aussi une vigilance collective. Chaque membre de l'équipe devient un acteur de la sécurité, attentif non seulement à son propre poste mais aussi à celui de ses voisins. Cette responsabilisation partagée dépasse le simple verrouillage d'écran : elle crée un état d'esprit où la sécurité n'est plus perçue comme une contrainte imposée par la direction, mais comme un réflexe naturel porté par le groupe.

Chocoblast x Efficience IT

Depuis le début de l'aventure en 2018, nous aimons nous taquiner entre collègues chez Efficience IT. D'autant plus lorsque cela nous donne l'opportunité de prendre le petit déj' tous ensemble autour de délicieuses douceurs chocolatées (ou autres).

Il nous semblait important de mettre en place un jeu de ce type pour garantir à nos clients une confidentialité et une sécurité complète des données que nous avons en notre possession. Verrouiller son écran est maintenant devenu un réflexe pour tous nos collaborateurs, tant pour le jeu que pour la sécurité de leurs informations !

Avec le temps, les chocoblasts se sont faits plus rares chez nous, et c'est justement le signe que le jeu a rempli sa mission. Les postes sont verrouillés, les réflexes sont acquis, et la culture de la sécurité fait partie intégrante de notre quotidien. Nous recommandons à toute entreprise, quelle que soit sa taille, d'adopter cette pratique simple et efficace pour renforcer sa posture de sécurité tout en cultivant la bonne humeur au bureau.

Pour aller plus loin

• CVE : comprendre les failles pour mieux se protéger — Les vulnérabilités informatiques et comment s'en prémunir
• Comment former vos équipes à la sécurité informatique en toute simplicité — Sensibiliser ses collaborateurs aux bonnes pratiques de sécurité
• Le bien-être au travail — Créer un environnement de travail convivial et sécurisé
• ANSSI — Guide d'hygiène informatique — Les bonnes pratiques de sécurité numérique en entreprise
• OWASP — Open Web Application Security Project — Ressources de référence sur la sécurité des applications web
• CNIL — Sécurité des données personnelles — Obligations et recommandations pour protéger les données