Dans plus de 80 % des cas, les brèches en cybersécurité sont imputables aux employés. Les entreprises ont donc instauré des QCM et formations obligatoires, mais souvent la tâche est bâclée et les conseils sont prodigués sans véritable attention. Résultat : les comportements ne changent pas, note Harvard Business Review qui propose donc 4 étapes essentielles pour se prémunir contre les comportements à risques.
- Comprendre le pourquoi des comportements à risque
Sauvegarde sur des disques externes, mots de passe sur un post-it, ces comportements à risques sont fréquents malgré les réprimandes des employeurs. Pourquoi cela? Tout simplement, parce que souvent, les demandes des équipes techniques freinent la productivité. Les mots de passe qui se multiplient, les accès aux fichiers s’allongent, la mémoire du téléphone est saturée, etc., tout cela pousse les employés à trouver des méthodes annexes qui peuvent mettre en danger la cybersécurité de leur entreprise.
Pour éviter cela, une bonne pratique serait d’impliquer les utilisateurs dans les processus de réflexion pour les comprendre et mieux saisir leur réalité. Adapter l’outil à son utilisateur reste la clef de son adoption, souligne Harvard Business Review.
- Les sciences comportementales au cœur du problème
Les simulations et scénarios d’attaque peuvent aider, mais ces méthodes peuvent également s’avérer contre productives, surtout si elles enferment les utilisateurs dans leur statut de victime potentielle ou de maillon faible.
Il faut plutôt équiper les équipes d’outils cognitifs pour identifier les tactiques de l’ennemi et faire progresser les pratiques. La science comportementale permet de comprendre les biais des employés et de construire des habitudes de sécurité en fonction de ceux-ci. Cela donne le moyen de contrecarrer les pirates.
Elle permet également de cerner les motivations des équipes pour s’en servir et maintenir ainsi l’effort dans la durée. Comprendre son profil de décision par exemple, et s’entraîner à piloter ses propres réactions émotionnelles est plus utile que de mémoriser une surcharge d’interdictions.
- Doubler chacun d’une IA vigilante
Cette IA pourrait faciliter l’affichage sélectif d’alertes contextuelles : en détectant liens, mots clés, adresses emails suspectes, évènements conjoints… Attention toutefois à ne pas faire trop de mises en garde automatiques comme « Attention, ce message provient d’une personne extérieure à l’organisation », car ces derniers, trop systématiques, finissent par être négligés.
Il pourrait être intéressant de dresser une liste de ce qu’il faut faire quand une certaine situation se présente, comme : comment raccrocher poliment, comment vérifier l’identité de quelqu’un, etc.
- Favoriser l’échange constant
Avoir été victime d’un hameçonnage et demander un avis à un collègue peut vite s’avérer inconfortable. Pourtant, c’est dans l’échange constant d’expériences que se construit l’immunité face à une menace protéiforme.
Il pourrait donc être très intéressant de créer des renforcements positifs et de valoriser les comportements de progrès, pour que chacun se sente fier de faire partie de la première ligne de défense de l’organisation.
Mettre de l’avant la réciprocité et l’entraide entre pair maintient l’effort d’une manière plus motivante qu’une règle dictée par la direction.
Sachant cela, repensez à votre cybersécurité et n’hésitez pas à l’adapter.