Sensibilisation : levez les freins

Toute démarche de sensibilisation va se heurter à différents niveaux de résistances et de difficultés inhérentes aux réactions plus ou moins conscientes des populations concernées. Ces différents niveaux peuvent être représentés par le graphique ci-dessous.

Il est donc nécessaire d’intégrer la sensibilisation au bon niveau et d’utiliser les bons messages et les bons outils pour chacun de ces niveaux.

Inconscience : J’aime à croire qu’en 2021, le nombre de personnes n’ayant jamais entendu parler de cybercriminalité est proche de zéro. En revanche, nombre d’entre elles ont encore tendance à penser que cela ne les concerne pas directement, que cela n’arrive qu’aux autres. Elles sous-estiment l’étendue de la menace. Pour lutter contre cette inconscience les messages de sensibilisation doivent inclure une description de la menace, des risques et des conséquences qu’une attaque peut avoir pour les utilisateurs eux-mêmes. On peut prendre des exemples réels illustrant les conséquences, notamment psychologiques, que les attaques ont eues sur leurs victimes.

Ignorance : Lutter contre l’ignorance est la base de la sensibilisation. Les utilisateurs ne peuvent pas appliquer des règles qu’ils ne connaissent pas. De même il est difficile de leur reprocher un mauvais comportement si on ne leur a pas expliquer ce qu’on attendait d’eux. Il faut donc expliquer et apporter des notions sur les différentes thématiques de la cybersécurité. Il s’agit de la partie pédagogique de la sensibilsiation.

Résistance : On rencontre encore, notamment de la part de certains métiers, une réaction de résistance face aux règles de sécurité. Celles-ci sont jugées comme contraires à l’efficacité et dévoreuses de temps. Dans un contexte de crise où les enjeux économiques peuvent devenir critiques, la tentation de rejet des messages de sécurité existe. Aller vite, être efficace et compétitif est assurément un impératif mais cela ne peut s’obtenir au détriment de la sécurité. En effet, à quoi cela sert ce sentiment d’efficacité et de fausse priorité si demain une cyberattaque paralyse l’entreprise, la commune ou l’hôpital. Les pertes pourront être bien plus importantes que le gain initial, sans compter les éventuelles conséquences juridiques auxquelles les dirigeants pourraient avoir à faire face. Si ce propos semble de bon sens, il est parfois difficile à faire entendre. Un bon moyen de lutter contre ces résistances est d’utiliser les techniques de communication engageante. Il s’agit ainsi d’obtenir au départ l’adoption d’un premier comportement jugé peu couteux par le collaborateur éventuellement récalcitrant. Par exemple, imaginons que vous ayez expliquer les 10 principales règles à respecter en matière de cybersécurité. Au lieu, de demander immédiatement le respect de ces 10 règles, vous tenez un propos du genre : « Nous comprenons les contraintes induites par le respect de ces règles. Ce que nous vous demandons aujourd’hui, c’est de choisir, parmi ces 10 règles, une d’entre elles et de vous engager à la respecter dès maintenant. » Deux choses alors se produisent. La première est que les utilisateurs, ayant le sentiment d’un moindre effort, auront tendance à effectivement respecter le comportement choisi. La deuxième est que par un effet de halo, elles se mettront aussi à respecter les 9 autres.

Contournement : Dans ce type de comportements, on franchit une étape dans le refus d’accepter les règles de sécurité. Non seulement on résiste à ces règles mais on décide en plus de les contourner pour éviter d’avoir à s’y conformer. Il s’agit bien sûr d’une attitude dangereuse. En plus des mesures mises en oeuvre pour lutter contre l’ignorance et d’éventuelles résistances, il est également utile de disposer de moyens de contrôle permettant de détecter les éventuels contournements. La mise en évidence des risques que ces contournements font peser sur l’entreprise, comme par exemple dans le cas du Shadow IT, pourra être utilement complétée par un modèle de réprimande en cas de contournement avéré.

Excès de confiance : Il s’agit d’un excès de confiance dans les mesures techniques de sécurité et dans les personnes dont la sécurité est le métier. Cela peut conduire à une illusion de sécurité et à une déresponsabilisation. La sensibilisation doit donc clairement montrer pourquoi la cybersécurité est l’affaire de chacun. Il sera nécessaire de mettre en évidence que les pirates ciblent les utilisateurs pour, justement, contourner les mesures techniques mises en oeuvre par l’équipe sécurité.

Abus et malveillance : On sort ici clairement du domaine de la sensibilisation. On a à faire à une catégorie de personnes ayant consciemment une intention de nuire. On pourra néanmoins afficher clairement les sanctions qui sont susceptibles de s’appliquer dans ce cas.