La cybersécurité ou sécurité de l’information est un effort entrepris pour garantir la confidentialité, l’intégrité et la disponibilité des informations. De manière générale, la cybersécurité comprend un éventail de politiques et outils sociaux et sociétaux, allant de la sensibilisation des utilisateurs aux programmes (méthodes de gestion des risques, actions de formations, bonnes pratiques), à la gouvernance d’entreprise (gestion des infrastructures, mode d’organisation et de fonctionnement) et aux relations entre Etats (enjeux économiques, stratégiques et politiques) . La qualité du management de la cybersécurité dépend en grande partie de la priorité accordée à toutes les parties prenantes, à commencer par les utilisateurs (Shackelford, Fort, et Charoen, 2016). Or, avec 90% des cyber incidents d’origine humaine, les utilisateurs sont considérés comme une menace que l’on cherche avant tout à contrôler et non réellement à intégrer, alors même qu’il peut constituer une ressource stratégique en matière de cybersécurité.
Ainsi, dans une démarche de cybersécurité durable, les interactions des utilisateurs avec l’écosystème des TIC sont comprises et facilitées. Le management de la cybersécurité durable revient alors à créer un environnement, où chacun comprend sa responsabilité pour respecter et protéger l’écosystème et préserver son utilisation future (Sadik, Ahmed, Sikos, et Islam, 2019). La construction de cet environnement nécessite de considérer l’utilisateur comme un acteur stratégique de l’écosystème des TIC et de comprendre l’interaction Homme-Machine. Pour ce faire il convient d’intégrer les sciences comportementales aux défis de la cybersécurité (Le Roy, 2021).
De la détection-prévention des comportements à risques des utilisateurs…
A partir des sciences du comportement, il est possible de cartographier les comportements à risques des utilisateurs. Cette cartographie s’inscrit dans le modèle traditionnel du management des risques :
- Les actifs (ce qui doit être protégé). Quand l’utilisateur devient la cible d’un hacker pour obtenir qu’il se conforme à sa demande, il devient un actif à protéger. Ces comportements à risques sont non-intentionnels. les cybercriminels « hackent » le cerveau de l’utilisateur (alors victime) et tentent de créer chez l’intéressé un mouvement de stress, de panique, qui le conduit à agir de façon irrationnelle (impulsivité dysfonctionnelle);
- Les vulnérabilités potentielles (les failles, c’est-à-dire ce qui manque comme solutions organisationnelles pour résoudre les problèmes identifiés). Quand l’utilisateur contourne délibérément les règles sécuritaires sans intention de nuire, il augmente les zones de vulnérabilités et donc la surface d’attaque. Ces comportements à risques sont intentionnels (pour cause de fatigue ou de difficulté d’utilisation) mais n’ont pas comme intention de mettre en péril le fonctionnement de l’entreprise;
- Les menaces directes (ce qui exploite volontairement les vulnérabilités). On se trouve alors dans la situation, où c’est l’utilisateur lui-même qui va augmenter les menaces. Ces comportements à risques sont dans ce cas malveillants. Ils renvoient à des logiques de représailles organisationnelles directes, telles que que le vol, le sabotage, la destruction de biens (ressources) ou d’actifs stratégiques de l’entreprise (image, réputation). Ils son le résultat généralement le résultat d’un sentiment de colère et d’injustice sociale.
…Vers la promotion des comportements de cybersécurité
A partir de recherches récentes, conduites dans le domaine de la psychologie durable, on peut néanmoins observer que certains comportements – utilisateurs, non attendus ou déviants, peuvent aussi donner lieu à des démarches innovantes et adaptatives (Brière, Le Roy et Meier, 2020). Paradoxalement, ces comportements déviants sont donc susceptibles de favoriser une amélioration des pratiques de cybersécurité auprès des parties prenantes (apprentissage par essais-erreurs) et de créer les conditions d’un écosystème des TIC plus sûr, plus résistant et plus durable, pour soutenir l’économie moderne (Oh, Phillips, Park et Lee, 2016). Face à ce constat, il importe par conséquent de prendre davantage en compte l’environnement social et organisationnel, afin de promouvoir efficacement et durablement les comportements de cybersécurité dans l’intérêt de tous (Meier, Le Roy, 2021).
par Jeanne Le Roy et Olivier Meier
Références
Brière M, Le Roy J, Meier O. (2020). Linking servant leadership to positive deviant behavior: The mediating role of self-determination theory. Journal of Applied Social Psychology. 00:1–14. https://doi.org/10.1111/jasp.12716
Le Roy J., 2021, Psyber Sécurité: l’apport de la psychologie dans le management de la cybersécurité, Revue Internationale de Management et de Stratégie, http://www.revue-rms.fr/
Meier O., Le Roy J. (2021), « Sociologie du numérique et cybersécurité: construction d’un programme de formation à destination des jeunes ingénieurs », Cours de Master, Module sociologie et management, Master Droit et Numérique, Université Paris Est.
Oh, D. S., Phillips, F., Park, S., & Lee, E. (2016). Innovation ecosystems: A critical examination. Technovation, 54, 1-6.
Sadik, S., Ahmed, M., Sikos, L. F., & Islam, A. K. M. (2020). Toward a Sustainable Cybersecurity Ecosystem. Computers, 9(3), 74
Shackelford, S. J., Fort, T. L., & Charoen, D. (2016). Sustainable cybersecurity: Applying lessons from the green movement to managing Cyber Attacks. U. Ill. L. Rev., 1995.