Sensibilisation impliquante, technique n°1 : du bon usage de la peur

La peur est très souvent utilisée quand il s’agit de cybersécurité.

On mettra ainsi en avant les profils menaçants des pirates et des organisations criminelles qui les emploient, les conséquences désastreuses des attaques sur les organisations et sur les collaborateurs qui en sont victimes.

Si l’usage systématique de la peur est contestable, il n’en reste pas moins que dès que l’on parle des risques et des enjeux liés à la sécurité, il est plus que probable qu’un sentiment de peur naisse dans l’esprit de beaucoup d’utilisateurs.

La question est donc de savoir ce que l’on fait de ce sentiment de peur.

La recherche montre que lorsqu’on utilise la peur pour persuader une personne du bien-fondé du comportement qu’on lui demande, on peut provoquer deux types de réactions : la gestion de la peur ou la gestion du danger.

La première réaction est contre-productive car elle a pour résultat d’éviter le problème en niant ou minimisant le sujet, en le contournant, en transférant la responsabilité à un tiers ou encore tout simplement en faisant preuve de fatalisme.

La deuxième réaction correspond à ce qu’on cherche à obtenir, à savoir la mise en oeuvre des bonnes pratiques permettant d’éviter que la menace se concrétise.

Ici aussi la recherche montre qu’on obtient cette deuxième réaction à condition d’expliquer, en même temps que l’on suscite la peur, les mesures à prendre pour faire face au danger, leur efficacité et leur simplicité de mise en oeuvre.

Il faut éviter de ne diffuser sur un même envoi, que le message qui provoque la peur, sans apporter de solutions. Cela aurait comme conséquence d’amener les utilisateurs dans un comportement de gestion de la peur.

En matière de sensibilisation à la cybersécurité, il faut, au même moment qu’on met en avant la menace, les risques et les conséquences des incidents, expliquer aux utilisateurs que l’application de quelques règles et comportements simples permettront de les éviter.