Cybersécurité et confidentialité des données : Comment créer des habitudes cybernétiques intelligentes grâce à la formation des employés
Pourquoi est-il si difficile de changer de comportement ?
Qu'il s'agisse des résolutions du Nouvel An, des habitudes alimentaires ou de la cybersécurité, les gens conservent généralement les habitudes qu'ils ont toujours eues - à moins qu'ils ne disposent des ressources appropriées et d'un écosystème qui facilite le changement.1
Les vieilles habitudes ont la vie dure
En ce qui concerne les pratiques de cybersécurité des employés de longue date, la situation n'est pas très différente, même si l'on tient compte du passage au travail à domicile pendant la pandémie de COVID-19. Bien que les employés soient plus exposés aux cyberattaques en raison du travail à domicile, ils préfèrent souvent faire les choses de la même manière que par le passé.2 Une formation obligatoire n'est tout simplement pas très efficace pour changer cela.3
En fait, selon une enquête menée en 2021, 60 % des entreprises (dont la taille varie de moins de 500 employés à plus de 1 500) ont 500 comptes d'employés ou plus qui utilisent des mots de passe qui n'expirent pas - ce qui signifie qu'ils n'ont probablement pas changé leur mot de passe depuis le jour où ils ont rejoint l'organisation.4
Utiliser les sciences du comportement pour rompre avec nos habitudes dangereuses
Si le processus d'intégration constitue une excellente occasion de former des habitudes en matière de cybersécurité (plus d'informations à ce sujet ici), que peut-on faire pour les personnes dont les méthodes ont été façonnées par des mois ou des années passées chez le même employeur ? Pour comprendre les solutions, il est important de discerner comment trois tendances comportementales - la flânerie sociale, l'accoutumance et la tendance au statu quo - jouent un rôle dans la négligence des employés. Une fois que les raisons de ces raccourcis mentaux sont comprises, les dirigeants peuvent alors mettre en place des contre-mesures efficaces et efficientes.
Trois comportements qui contribuent aux mauvaises habitudes cybernétiques
La paresse sociale : Nous pensons que nos actions n'ont pas d'importance
La paresse sociale est la tendance à fournir moins d'efforts dans un groupe que lorsqu'on travaille seul. Elle est particulièrement prononcée dans les contextes où les efforts de chaque membre sont combinés en un résultat total pour le groupe, ce qui rend difficile l'identification de la contribution de chacun.5
La paresse sociale découle de l'hypothèse selon laquelle nos actions individuelles n'ont pas d'importance, ce qui peut avoir des conséquences dévastatrices pour la cybersécurité. Ce phénomène s'explique en partie par notre tendance à penser que si quelque chose est vraiment important, quelqu'un d'autre s'en occupera sûrement6.
Inversement, lorsque les employés pensent que leurs actions de mise en conformité en matière de sécurité ont un impact significatif et positif sur l'organisation, ils adoptent de meilleures habitudes et font moins preuve de flânerie sociale.7
Afin de rappeler aux employés que leurs actions sont importantes, les normes sociales doivent être façonnées de manière à refléter cette réalité.
Les croyances normatives ont une influence significative sur le comportement des employés, de sorte que les attentes perçues des pairs, de la direction informatique et des supérieurs auront le plus d'impact sur les pratiques de cybersécurité7.
En montrant les mesures de cybersécurité prises par d'autres, que ce soit par le biais d'une lettre d'information mensuelle ou brièvement lors d'une réunion hebdomadaire, les comportements liés à la flânerie sociale seront probablement réduits, mais seulement si la majorité des gens le font :
- Adopter un "bon" comportement
- Le comportement majoritaire est connu
- Chaque individu peut faire une comparaison frappante entre son comportement et la norme2
Afin de créer les éléments susmentionnés qui permettent à une organisation de réduire la flânerie sociale parmi ses employés, les superviseurs devraient fournir un retour d'information personnalisé à leurs subordonnés sur leurs performances et sur la manière dont elles se comparent à celles des autres. Cela permettrait non seulement de créer des normes sociales à partir desquelles les personnes peuvent évaluer leurs progrès, mais aussi de faire en sorte que les employés se sentent soutenus et satisfaits - des facteurs clés lorsqu'il s'agit de promouvoir l'unité au sein d'une organisation.8
L'accoutumance : Nous nous habituons aux avertissements
Au cours du processus d'habituation, les personnes réagissent de moins en moins aux stimuli récurrents au fil du temps.9 Un exemple de ce phénomène est la réception de mises à jour sur votre téléphone : Si vous choisissez de ne recevoir que les dernières nouvelles, vous n'en recevrez qu'une ou deux par jour et serez plus enclin à réagir au stimulus. Si vous choisissez de recevoir plusieurs notifications par heure, vous serez moins enclin à en lire une seule, y compris les nouvelles de dernière minute
Nous avons tendance à nous fatiguer et à nous laisser submerger par une trop grande quantité d'informations. En matière de cybersécurité, l'accoutumance peut prendre la forme d'un désengagement total des employés à l'égard des comportements sûrs.10
Si l'accoutumance est si fréquente, c'est en partie parce que.. :
- Par exemple, une personne peut recevoir des avertissements sur la nécessité de créer un mot de passe plus fort chaque fois qu'elle se connecte à son courrier électronique, mais comme ces avertissements sont faciles à ignorer et qu'ils se répètent souvent, l'utilisateur peut facilement s'habituer et négliger complètement de changer son mot de passe.
- Un langage complexe peut dissuader les utilisateurs de répondre à chaque stimulus parce qu'il leur faut trop de temps ou d'efforts pour essayer de comprendre de quoi il s'agit.12
- Si les effets en aval de ses réponses ne sont pas variables et saillants, cela peut encore renforcer l'effet d'accoutumance.13
Solution d'accoutumance : Créer des avertissements uniques et clarifier les conséquences
Comment s'assurer que les employés ne s'habituent pas aux cyber-avertissements ? Une solution consiste à créer des avertissements distincts les uns des autres et à décrire en quoi la mise à jour peut aider l'utilisateur.2 Si possible, ces avertissements doivent être aussi peu fréquents que possible - axés uniquement sur les points les plus importants nécessitant un engagement - car une exposition continue peut épuiser l'énergie cognitive des employés14 ou conduire au stress et à la fatigue.15
Une autre solution consiste à énoncer clairement les conséquences de l'ignorance des avertissements. Par exemple, à la réception d'un courriel de hameçonnage potentiel, les internautes devraient lire une description détaillée de ce que représente une attaque de hameçonnage avant de continuer. De même, ils pourraient regarder une brève vidéo de personnes ayant subi une attaque de phishing, puis se voir demander s'ils souhaitent toujours ouvrir l'e-mail suspect.2
Biais de statu quo : nous hésitons à changer
Le biais du statu quo se produit lorsque nous surestimons la valeur positive de notre situation actuelle, ce qui réduit notre motivation à la changer.2 Il nous pousse à nous en tenir au statu quo, même lorsque nous ne devrions vraiment pas le faire - par exemple, conserver un mot de passe vieux de deux ans ou ne pas mettre à jour un logiciel informatique. Ce comportement est dû à l'un des trois facteurs suivants:16
- La prise de décision rationnelle face à l'incertitude
- Perceptions cognitives erronées
- Engagements psychologiques
- Prise de décision rationnelle
Il est surprenant de constater qu'une décision rationnelle pourrait consister à remettre à plus tard la mise à jour de votre logiciel informatique. Les changements tels que la mise à jour d'un logiciel sont, à court terme - et dans presque toutes les interactions les plus marquantes de l'utilisateur - généralement soit neutres (c'est-à-dire qu'on a l'impression que rien n'a changé), soit négatifs (c'est-à-dire qu'il est plus difficile de s'engager avec le logiciel et que cela engendre une plus grande frustration chez les utilisateurs).
Étant donné qu'ils savent déjà comment utiliser leur logiciel actuel, le risque de le changer peut être trop élevé. L'utilisateur pensera probablement que si la mise à jour est facile à ignorer et n'a pas de valeur immédiate, voire une valeur négative, elle n'en vaut pas la peine. Cela l'amènera à supposer que le statu quo est la meilleure option disponible - et à ne pas mettre à jour son logiciel. - Perceptions cognitives erronées
Selon une logique similaire à celle de l'aversion aux pertes, les gens ressentent les pertes liées à l'abandon du statu quo de manière plus marquée que les avantages de ce changement. Même en l'absence d'effets de cadrage des pertes ou des gains, le biais du statu quo persiste16.
Les perceptions cognitives erronées qui conduisent au biais du statu quo se produisent dans les processus de prise de décision qui exigent que les gens se renseignent sur leurs options dans un ordre séquentiel. Parce qu'ils ont investi du temps dans les premières options, ils sont plus susceptibles de choisir l'une d'entre elles plutôt que de passer trop de temps à s'informer sur toutes les options. Par exemple, si vous commencez un nouvel emploi et que vous essayez de choisir une police d'assurance maladie, il est probable que vous choisirez l'une d'entre elles plutôt que de passer trop de temps à vous renseigner sur toutes les options. Étant donné qu'il faut beaucoup de temps pour peser le pour et le contre de chaque police, il n'est pas raisonnable de s'attendre à ce que vous disposiez de suffisamment de temps pour étudier minutieusement chaque option. Par conséquent, la solution la plus rationnelle consiste à examiner un sous-ensemble d'options et à ignorer complètement les autres. Dans ce scénario, l'option du statu quo présente un avantage concurrentiel en raison de sa place dans votre processus décisionnel. - Engagements psychologiques
Le troisième et dernier point qui peut conduire au biais du statu quo est l'engagement psychologique à l'égard de quelque chose afin de "réduire nos pertes" (également connu sous le nom d'erreur des coûts irrécupérables). Plus une personne a passé de temps à étudier l'option du statu quo, plus elle est susceptible de poursuivre cet engagement à l'avenir, même si de meilleures alternatives se présentent.
Solution de partialité du statu quo : Communication et facilité d'utilisation
La première stratégie à mettre en œuvre consiste à modifier les paramètres par défaut dans la mesure du possible afin de les rendre plus sûrs. Par exemple, lors de l'arrivée de nouveaux employés, configurez-les automatiquement avec une authentification à deux facteurs, des mots de passe complexes et un gestionnaire de mots de passe sécurisé. En outre, modifiez leurs paramètres pour que les mots de passe expirent automatiquement au bout de quelques mois. Forcer l'expiration des mots de passe nécessiterait beaucoup moins d'efforts que de laisser les mots de passe vieillir et d'essayer d'encourager les employés à les changer.
Une deuxième méthode consiste à créer un petit quiz d'amélioration des compétences pour une utilisation répétée. Le quiz pourrait consister à recevoir des courriels suspects et à devoir déchiffrer s'il s'agit ou non de phishing ou de spam. En fonction de leurs résultats, ils recevraient des informations sur la manière de s'améliorer la prochaine fois qu'ils seront confrontés à des courriels inattendus. Cette stratégie répondrait à la fois aux engagements psychologiques et aux perceptions cognitives erronées du biais du statu quo en montrant qu'un comportement habituel peut entraîner des pertes et qu'il vaut la peine de l'adapter pour une meilleure protection.
Enfin, si une organisation n'est pas en mesure de modifier les paramètres par défaut ou de mettre en œuvre une prestation de valeur dans le processus de friction, elle peut recourir à des effets de cadrage. En raison de la relation entre ce biais et l'aversion pour les pertes, lorsque nous présentons l'option par défaut comme une perte, nous encourageons les employés à modifier leurs paramètres initiaux, renforçant ainsi les pratiques de cybersécurité17.
La science du comportement au service des mauvaises habitudes de vos employés
Pour savoir comment faire en sorte que vos employés permanents adoptent des comportements cybersécuritaires, il faut comprendre les trois principaux préjugés et tendances qui contribuent aux pratiques dangereuses : la flânerie sociale, l'accoutumance et le préjugé du statu quo. La plupart des membres de votre organisation n'adoptent pas un comportement dangereux en ligne pour être malveillants ; ils agissent plutôt selon les mêmes raccourcis mentaux que nous connaissons tous à un moment ou à un autre, même si c'est dans des contextes différents. En adoptant une approche psychologique et empathique, vous pouvez faire en sorte non seulement que votre entreprise soit moins exposée à une cyberattaque, mais aussi que vos employés se sentent plus en sécurité et plus importants dans leur rôle.
Le Decision Lab est un cabinet de conseil en comportement qui utilise la science pour faire avancer le bien social. Nous travaillons avec certaines des plus grandes organisations au monde pour susciter le changement et résoudre des problèmes sociétaux difficiles. La prise de décision fondée sur les données est essentielle pour éliminer les préjugés sur le lieu de travail et optimiser les talents dont disposent déjà les organisations. Si vous souhaitez vous attaquer ensemble à ce problème sur votre lieu de travail, contactez-nous.
References
- Briser les mauvaises habitudes. (2012, janvier). NIH News in Health. https://newsinhealth.nih.gov/2012/01/breaking-bad-habits
- Blau, A., Alhadeff, A., Stern, M., Stinson, S. et Wright, J. (2017). Pensée profonde : A Cybersecurity Story. ideas42. https://www.ideas42.org/wp-content/uploads/2016/08/Deep-Thought-A-Cybersecurity-Story.pdf
- Cisco Systems, Inc. (2008). Fuite de données dans le monde entier : The High Cost of Insider Threats [Livre blanc]. https://www.01net.it/whitepaper_library/Cisco_DataLeakage.pdf
- 2021 Rapport sur les risques liés aux données des services financiers (2021). Varonis.
- Hoffman, R. (2020, 22 juin). Social loafing : Définition, exemples et théorie. Simply Psychology. https://www.simplypsychology.org/social-loafing.html
- Darley, J. M. et Latane, B. (1968). Bystander intervention in emergencies : Diffusion of responsibility. Journal of Personality and Social Psychology, 8(4), 377-383. https://doi.org/10.1037/h0025589
- Herath, T. et Rao, H. R. (2009). Encourager les comportements de sécurité de l'information dans les organisations : Role of penalties, pressures and perceived effectiveness. Decision Support Systems, 47(2), 154-165. https://doi.org/10.1016/j.dss.2009.02.005
- Meyer, J. P. et Allen, N. J. (1991). A three-component conceptualization of organizational commitment. Human Resource Management Review, 1(1), 61-89. https://doi.org/10.1016/1053-4822(91)90011-Z
- Thompson, R. F. et Spencer, W. A. (1966). Habituation : Un phénomène modèle pour l'étude des substrats neuronaux du comportement. Psychological Review, 73(1), 16-43. https://doi.org/10.1037/h0022681
- Furnell, S. et Thomson, K.-L. (2009). Reconnaître et traiter la "fatigue de la sécurité". Computer Fraud & Security, 2009(11), 7-11. https://doi.org/10.1016/S1361-3723(09)70139-3
- Amran, A., Zaaba, Z. F., & Mahinderjit Singh, M. K. (2018). Effets d'habituation dans l'avertissement de sécurité informatique. Information Security Journal : A Global Perspective, 27(4), 192-204. https://doi.org/10.1080/19393555.2018.1505008
- Bravo-Lillo, C., Cranor, L. F., Downs, J. et Komanduri, S. (2011). Bridging the Gap in Computer Security Warnings : A Mental Model Approach. IEEE Security & Privacy, 9(2), 18-26. https://doi.org/10.1109/MSP.2010.198
- Boutros, N. et Davis, T. (2022). Habituation : Definition, Examples, & Why It Occurs. The Berkeley Well-Being Institute. https://www.berkeleywellbeing.com/habituation.html
- Pignatiello, G. A., Martin, R. J. et Hickman, R. (2020). Decision fatigue : A conceptual analysis. Journal of Health Psychology. https://doi.org/10.1177/1359105318763510
- Salvagioni, D. A. J., Melanda, F. N., Mesas, A. E., González, A. D., Gabani, F. L., & Andrade, S. M. de. (2017). Conséquences physiques, psychologiques et professionnelles de l'épuisement professionnel : Une revue systématique des études prospectives. PloS One, 12(10), e0185781. https://doi.org/10.1371/journal.pone.0185781
- Samuelson, W. et Zeckhauser, R. (1988). Status quo bias in decision making. Journal of Risk and Uncertainty, 1(1), 7-59. https://doi.org/10.1007/BF00055564
- Fallahdoust, M. (2022). Nudges and Cybersecurity : Harnessing Choice Architecture for Safer Work-From-Home Cybersecurity Behaviour [Texte, Université de Carleton].https://curve.carleton.ca/92b0cf7c-8751-4587-be25-8baa920f4ea8
About the Authors
Lindsey Turk
Lindsey Turk est Summer Content Associate au Decision Lab. Elle est titulaire d'un master d'études professionnelles en économie et gestion appliquées de l'université de Cornell et d'une licence en psychologie de l'université de Boston. Au cours des dernières années, elle a acquis de l'expérience dans les domaines du service à la clientèle, du conseil, de la recherche et de la communication dans divers secteurs. Avant de travailler au Decision Lab, Lindsey a été consultante auprès du Département d'État américain, dans le cadre de son initiative internationale de lutte contre le VIH, le PEPFAR. À Cornell, elle a également travaillé avec une entreprise de produits diététiques au Kenya afin d'améliorer l'accès à des aliments sains et cite cette opportunité comme étant ce qui a cimenté son intérêt pour l'utilisation des sciences comportementales à des fins utiles.
Dr. Brooke Struck
Brooke Struck est directeur de recherche au Decision Lab. Il est une voix internationalement reconnue dans le domaine des sciences comportementales appliquées, représentant le travail de TDL dans des médias tels que Forbes, Vox, Huffington Post et Bloomberg, ainsi que dans des sites canadiens tels que le Globe & Mail, CBC et Global Media. M. Struck anime le podcast de TDL "The Decision Corner" et s'adresse régulièrement à des professionnels en exercice dans des secteurs allant de la finance à la santé et au bien-être, en passant par la technologie et l'intelligence artificielle.
Dan Pilat
Dan est cofondateur et directeur général du Decision Lab. Il est l'auteur du best-seller Intention - un livre qu'il a écrit avec Wiley sur l'application consciente de la science comportementale dans les organisations. Dan a une expérience de la prise de décision organisationnelle, avec une licence en systèmes de décision et d'information de l'Université McGill. Il a travaillé sur l'architecture comportementale au niveau de l'entreprise chez TD Securities et BMO Capital Markets, où il a conseillé la direction sur la mise en œuvre de systèmes traitant des milliards de dollars par semaine. Poussé par un appétit pour les dernières technologies, Dan a créé un cours sur l'intelligence économique et a donné des conférences à l'Université McGill. Il a également appliqué la science du comportement à des sujets tels que la réalité augmentée et virtuelle.