Pourquoi l’approche comportementale est clé dans le management de la cybersécurité
Le 20 novembre 2020, le journaliste néerlandais Daniël Verlaan infiltre une visioconférence destinée aux ministres de la défense européens. L’apparition à l’écran de cet intrus déclenche la surprise et l’hilarité parmi les acteurs de cette réunion supposée secrète et sécurisée. La vidéo de l’évènement largement relayée sur les réseaux sociaux prête effectivement à sourire mais elle révèle en réalité deux failles majeures de la politique de cybersécurité liées au comportement humain que l’on rencontre dans de nombreuses entreprises et institutions : le manque de respect des consignes de cybersécurité même à des postes à très haute responsabilité, le manque de perception du risque lié à une telle faille.
90% des incidents de cybersécurité sont liés à une erreur humaine
Le journaliste a infiltré la réunion en utilisant simplement le code d’accès laissé apparent sur une publication Twitter d’Ank Bijleveld, la ministre de la Défense néerlandais. Il ne lui a fallu que quelques minutes, et ce sans avoir besoin de compétences en piratage informatique, pour accéder à la réunion. Si le journaliste a rapidement été invité à quitter la visioconférence, la réaction des membres du conseil de défense montre une certaine légèreté voire un amusement face à cette intrusion. Avec un peu de recul le manque de vigilance de ces responsables semble inquiétant.
L’incident aurait en effet pu être plus grave. Dans le contexte de crise sanitaire traversé en 2020, le déploiement du télétravail a entraîné une explosion des incidents de cybersécurité. On estime ainsi que 93 % des organisations françaises ont enregistré une hausse des cyberattaques depuis le début de la pandémie de Covid-19 avec une augmentation des attaques quotidiennes par « rançongiciels » de 50% dans le monde entre juillet et septembre, par rapport au premier semestre 2020. Bouygues, Easyjet, Leetchi nombreuses sont les entreprises à en avoir fait les frais, confrontés au vol massif de données clients qui mettent à mal la réputation de leur entreprise.
En France, suite à la récente multiplication de cyberattaques touchant les hôpitaux, le président Macron s’est lui-même saisi du sujet et a annoncé un investissement d’un milliard d’euros pour lutter contre la cybercriminalité dont une large partie sera consacrée à la recherche et développement. Si les progrès en matière de cybersécurité dépendent fortement du développement de solutions technologiques, cet investissement dans la recherche ne devrait pas négliger les travaux en sciences comportementales.
Une étude récente estime que 90% des incidents de cybersécurité sont liés à une erreur humaine.
Au final, quelle que soit la solution technique de cybersécurité déployée, il suffit d’un clic pour mettre à mal la confidentialité de données de millions d’individus.
La cybersécurité est donc avant tout une histoire de comportements humains et devrait être envisagée comme telle au sein des entreprises.
La cybersécurité devrait commencer par un travail de fond sur une juste perception de la menace
Comme pour toute politique de prévention des comportements à risque, la cybersécurité passe avant tout par une prise de conscience de la menace. La cybersécurité présente à ce titre un désavantage, l’attaque et les dommages ont une dimension digitale, virtuelle et différée. Il est donc difficile de travailler sur la perception de la menace dans ce cadre.
Que représente en effet une donnée pour un employé ? Ses dimensions immatérielle et impersonnelle rendent difficile la représentation mentale de sa valeur et les conséquences de son vol. Les cybercriminels sont-ils d’ailleurs perçus comme de réels criminels, leurs actes sont-ils perçus comme immoraux ? Autant de questions qui doivent être considérées lorsque l’on veut faire prendre conscience du risque encouru. Et en regard autant d’interventions en sciences comportementales qui peuvent être envisagées pour augmenter l’efficacité de la prévention (par exemple travailler sur les conséquences humaines et morales du vol de données).
Par ailleurs, la cybercriminalité est trop souvent perçue comme la responsabilité d’équipes dédiées lorsqu’elle devrait être l’affaire de tous. Dans ce contexte une trop grande confiance accordée au service de sécurité informatique peut être contre-productive. Une étude montre à ce titre que plus les individus interagissent avec les acteurs de la cybersécurité moins ils sont vigilants. La responsabilité est déléguée lorsque celle-ci devrait être intégrée comme un devoir individuel pour chacun des employés. Ici encore un travail pourrait être mené pour travailler sur les perceptions afin que la cybersécurité ne soit plus considérée comme un service externe mais bien un devoir pour chaque membre de l’entreprise.
Enfin, la perception de la politique de cybersécurité est souvent négligée. Celle-ci pourrait être perçue dans certaines entreprises comme contraignante, voir allant à l’encontre des impératifs de productivité. Par ailleurs, la communication des consignes de cybersécurité la rend parfois abrupte. Pour favoriser l’adhésion aux comportements vertueux, un effort devrait être apporté à la communication des règles afin de ne pas provoquer ce qu’on appelle de la réactance, qui se manifesterait par la négligence volontaire d’une consigne lorsque celle-ci est formulée comme un ordre et restreint la perception de liberté.
Une fois que les individus sont convaincus du risque et de la pertinence des comportements favorables à la cybersécurité, les sciences comportementales peuvent favoriser l’adoption de ces comportements et la mise en place de réflexes.
Les sciences comportementales rengorgent de leviers incitatifs pour favoriser les comportements cyber-responsables
Cela passe en premier lieu par une adaptation aux comportements réels des employés et doit donc prendre en compte les nouvelles contraintes liées au télétravail. Par exemple, un télétravailleur sur deux utilise son matériel personnel. Dans ce contexte, rien ne distingue plus l’environnement de travail de l’environnement personnel. Or, les comportements des employés et leur devoir de vigilance ne devraient pas être les mêmes en fonction de ces deux contextes de navigation.
Des solutions pourraient être envisagées via l’interface pour rappeler à l’employé qu’il doit être en situation de vigilance et qu’il expose actuellement des données de l’entreprise à un risque. Ici comme dans toute intervention en sciences comportementales, il s’agit de faire porter à la conscience de l’individu une simple information qui va influencer ses choix.
Par ailleurs, nombreux sont les leviers incitatifs en sciences comportementales pour favoriser les comportements renforçant la cybersécurité. Parmi ceux-ci, l’utilisation du collectif, grâce au principe de la norme sociale, une simple information sur les comportements vertueux des individus de leur département ou équipe peut inciter les employés à adapter leurs pratiques pour se conformer au comportement majoritaire. L’emploi très régulier de feedback est également recommandé pour favoriser l’application des gestes de cybersécurité et permettrait de renforcer l’impact des formations, souvent vite oubliées. Enfin la mise en place d’options par défaut, notamment pour les choix de mises à jour de sécurité, lors de procédures d’adhésion à double identification devrait être favorisée.
Ces quelques exemples ne sont que des pistes de réflexions à envisager dans une démarche en sciences comportementales visant à renforcer la cybersécurité d’une organisation en améliorant l’adoption, de façon pérenne, de comportements cyber-responsables.
