Dans une immense majorité des cas, un défaut de comportement d’un utilisateur du système d’information est au cœur des incidents de sécurité (60 % selon Ponemon Cost of Insider Threats Global Report, jusque 80 % selon d’autres sources). Le développement d’une culture cybersécurité et l’adoption des bonnes pratiques par les utilisateurs sont au cœur de toute stratégie cybersécurité. La plupart des organisations ont ainsi développé des programmes de sensibilisation des utilisateurs. Trop souvent, les organisations sont déçues des résultats de leurs opérations de sensibilisation, tant du point de vue de la participation que du résultat sur l’adoption des bonnes pratiques. En ce sens de nouvelles approches de sensibilisation sont nécessaires.
Comment utiliser une approche ayant un impact sur les changements de comportements ?
Les employés ont généralement du mal à retenir et à appliquer dans leur vie professionnelle quotidienne, ce qu'ils ont appris lors de formations par à-coups. Pour obtenir un réel impact, il est important d’utiliser des contenus spécifiques aux rôles individuels des employés notamment, au sein de leur organisation. Par ce biais, ils se sentiront impliqués et retiendront plus facilement les bonnes pratiques à adopter.
De plus, organiser des courtes campagnes de sensibilisation à la cybersécurité plusieurs fois par an, au lieu d’une seule reprenant l’ensemble des thématiques, semble plus pertinent.
La démarche générale :
Conscio Technologies accompagne les RSSI, DSI et DPO depuis plus de 15 ans, afin de les aider à développer une réelle culture Cybersécurité au sein de leurs organisations.
Nos équipes n’ont de cesse que de rechercher les meilleures pratiques et méthodes favorisant l’adhésion et l’engagement vers un comportement cyber sécurisé. À travers cette démarche, nous cherchons ainsi à guider chaque utilisateur vers un engagement dans lequel il fait sienne la maxime « Le piratage informatique ne passera pas par moi » et, qu’il ne soit pas une source d’incident de sécurité.
C’est dans cette optique que nous nous appuyons sur les travaux de Fabien Girandola, Professeur de psychologie sociale à l’université d’Aix Marseille. Fabien Girandola est l’auteur du livre « Psychologie de la persuasion et de l’engagement » aux Presses Universitaires de Franche Comté.
12 techniques d’application dans une stratégie de sensibilisation en ligne
L’application des travaux de recherche sur la psychologie de la persuasion et de l’engagement nous a conduit à la mise en œuvre de différentes techniques appliquées à la mise en œuvre d’une stratégie de sensibilisation en ligne.
Ici, nous en présentons 12 qui nous semblent les plus utiles, afin de maximiser l’impact des opérations de sensibilisation : du bon usage de la peur, traitement direct du message, développement de l’implication, humeur positive, inoculation, casser le sentiment d’invulnérabilité, du bon usage des récompenses, obtenir un acte engageant, l’amorçage, l’étiquetage, l’identification sociale & le recadrage.
Prenons un exemple parmi ces 12 techniques : « le traitement direct du sujet »
Le message délivré a tendance à convaincre davantage sans avertissement préalable. En étant averti avant, il existe une tendance à imaginer des résistances. Ainsi, 2 possibilités de traitements du sujet dans le cas d’une campagne ciblée, peuvent-être imaginées : le message d’invitation commence à traiter directement du sujet choisi et propose de suivre immédiatement le support proposé ou il peut aussi présenter un risque et ses dangers associés, tout en proposant de suivre le support qui donne simplement les moyens de s’en protéger.
Auteur : Michel GERARD, Conscio Technologies.