Sécurité : des utilisateurs lassés, usés, à la dérive

La sécurité informatique ne tient pas assez compte des utilisateurs et de leur confort d’usage. C’est la conclusion que l’on est amené à retirer d’une étude conduite par le Nist américain. Celle-ci ne porte pas sur un échantillon très étendu – elle se veut qualitative et non pas quantitative –, mais les résultats n’en interpellent pas moins. Résumant leur étude, les auteurs relèvent que « les participants ont exprimé un sentiment de résignation, de perte de contrôle, de fatalisme, de minimisation du risque, d’évitement de décision, toute les caractéristiques d’une lassitude » vis-à-vis de la sécurité informatique. Ce qui risque de ne pas manquer de s’avérer préjudiciable à la posture de sécurité des entreprises.

Cité dans un communiqué du Nist, le psychologue cognitif Brian Stanton le souligne d’ailleurs : « la conclusion selon laquelle le public souffre de lassitude de la sécurité est importante, parce qu’elle a des implications dans l’environnement de travail et dans le quotidien des individus ».

C’est l’utilisabilité des dispositifs et mesures de sécurité qui est là mise en cause : « si tout un chacun ne peut pas utiliser la sécurité, personne ne le fera, et nous – et notre nation – ne serons pas en sécurité », relève Brian Stanton. De quoi souligner l’importance de la prise en compte de l’individu, et là tant comme citoyen que consommateur ou employé, dans les politiques de sécurité informatique. Et justement, celui-ci apparaît noyé sous les identifiants, mots de passe et autres codes PIN toujours plus nombreux à retenir.

Cette observation ne surprendra pas grand monde. Peut-être encouragera-t-elle toutefois plus de DSI à miser sur le SSO : celui-ci manque pas de faire ses preuves en matière de satisfaction des utilisateurs. Leroy Merlin l’avait d’ailleurs intégré dès le départ à son projet de virtualisation des postes de travail afin de favoriser l’adhésion et d’éviter le rejet.

Au-delà, il semble particulièrement difficile pour chacun de se sentir concerné pour la menace. Les études le montrent régulièrement pour les décideurs IT, qui ont du mal à imaginer que leur entreprise constitue une cible ; c’est encore plus vrai pour les individus : selon le Nist, les participants à l’étude « se demandent pourquoi ils seraient visés par une cyberattaque ». De nombreuses personnes « ne se sentent pas suffisamment importantes pour que qui que ce soit veuille leurs informations ». Et beaucoup ne connaissent personne qui ait été victime d’un piratage… Ce qui n’aide pas à se sentir concerné.

Facilité ou sentiment d’impuissance, pour beaucoup de participants à l’étude, la sécurité des données est d’abord appréhendée comme la responsabilité d’un autre : banque, service Web, commerçant en ligne… Quelqu’un « de plus expérimenté ».

Les chercheurs à l’origine de cette étude prévoient de poursuivre leurs travaux, en se concentrant cette fois-ci sur différents niveaux de responsabilités au sein des entreprises.