Sécurité : le succès de la sensibilisation repose sur la psychologie

Il convient d’ajouter la psychologie à la longue liste des domaines que doivent maîtriser les RSSI pour sécuriser leurs organisations. Selon un analyste du cabinet Gartner, il est essentiel de connaître les bonnes techniques pour toucher les utilisateurs finaux. A défaut de quoi, il ne sera pas possible d’éliminer les mauvaises pratiques. Andrew Walls, vice-président recherche au sein du cabinet s’exprimait la semaine passée à l’occasion de l’édition 2014 du Gartner Security & Risk Management Summit. Et selon lui, de nombreuses organisations échouent dans leurs efforts à améliorer la posture de sécurité de leurs utilisateurs simplement parce qu’elles ne prennent pas en compte les cinq facteurs psychologiques clés qui influencent les comportements : la réputation, le choix, les relations, la maîtrise, et l’intégrité. Selon Walls, « ces éléments constituent un flux continu dans nos vies, mais ils motivent et structurent nos comportements. »

Pour Walls, les opportunités d’influencer les utilisateurs pour les conduire à faire des choix sûrs résident dans la compréhension de la manière dont ils veulent être perçus (réputation), dans leur degré d’autonomie et de liberté (choix), dans la qualité de leurs relations avec leurs collègues (relations), dans leur capacité à développer et à entretenir des compétences (maîtrise), et dans la façon dont les individus développent une confiance réciproque (intégrité).

Selon l’analyste, c’est la compréhension de ces cinq composants qui permet aux équipes de sécurité d’appliquer certaines techniques pour encourager aux comportements sûrs. A titre d’exemple, Walls a ainsi comparé l’envoi d’un e-mail contenant des données sensibles avec l’achat de pain moisi : alors qu’un individu réalise immédiatement qu’acheter le pain était un mauvais choix, parce que le moisi engendre immédiatement une réaction extérieure négative, les équipes de sécurité échouent trop souvent à générer un même type de réaction lors de la violation d’une règle interne. « Nous les formons chaque année, chaque trimestre, et pourtant, ils continuent de prendre les mêmes décisions », a ainsi relevé Walls : « vous le constatez sur votre système de DLP ou votre SIEM, mais l’utilisateur ne voit rien. » Et c’est là qu’il convient de changer quelque chose. Pour Walls, les équipes de sécurité doivent fournir une réaction aux utilisateurs lorsqu’ils violent des règles de sécurité ou prennent des décisions discutables, mais également les encourager lorsqu’ils prennent de bonnes décisions.

Selon l’analyste, les seuls retours négatifs ne font qu’aliéner l’équipe de sécurité et soulignent subtilement aux utilisateurs que quelqu’un veille sur la sécurité à leur place : « si vous vous contentez de punir, vous renforcez le sentiment des utilisateurs selon lequel la sécurité leur est extérieure. Et ceux-ci de penser que c’est hors de leur contrôle. Ils ont besoin de percevoir les conséquences. »

Et Walls de militer pour faire de la sécurité le « choix facile » pour les utilisateurs, en s’appuyant sur le concept selon lequel deux forces s’opposent dans l’esprit de chacun - les processus de réaction et de réflexion - comme Chip et Dan Heath le décrivent dans le livre Switch. L’analyste a ainsi relevé que plus de 90 % des choix réalisés par une personne sont le fait de la partie réactive du cerveau, la plus rapide, basée sur la répétition. Les choix les plus compliqués relevant du processus de réflexion, plus lent, et plus consommateur d’énergie. Dès lors, pour Walls, les choix de sécurité doivent être réflexes et intuitifs. Et d’offrir là encore des suggestions basées sur les cinq facteurs clé de la psychologie présentés précédemment.

Pour stimuler la composante réputation, Walls, a suggéré la mise en place de programmes de reconnaissance par les pairs qui reconnaissent et récompensent publiquement ceux qui font des choix en faveur de la sécurité de l’information. Et de souligner que les utilisateurs doivent disposer d’un niveau suffisant de responsabilité pour apprendre à faire les bons choix, mais également d’opportunités de faire des erreurs, dans un environnement de test sûr. « Nous avons tous des bacs à sable ou des environnement de test pour compiler nos applications, les tester, les voir planter et recompiler. Nous faisons ça tout le temps. Nous devons laisser nos utilisateurs faire pareil. Fournissons-leur des environnements où tester leurs comportements et échouer. »

Walls a également suggéré d’encourager la discussion sur les sujets de la sécurité et des risques afin que les utilisateurs puissent construire des relations. Et de citer un client de Gartner qui a publié sa politique de sécurité sur un wiki et demandé à ses employés de la lire et de suggérer des changements. Ce dernier point n’était pas le plus important : ce qu’il voulait était que les employés communiquent ensemble sur le sujet.

Enfin, Walls a souligné un point clé : les utilisateurs vont croire en l’intégrité des efforts de sécurité s’ils voient d’autres, et en particulier leurs dirigeants, adhérer activement au programme de sécurité. « Nous devons impliquer tout le monde, de haut en bas de la hiérarchie. Car chaque action, chaque décision prise, sera rendue publique au sein de l’entreprise - dès qu’une personne sait, tout le monde sait. » Mais ce dernier point est peut-être le plus difficile à atteindre.

Adapté de l’anglais par la rédaction.