Analyser les comportements pour améliorer la résilience Cyber de votre personnel

Le comportement sécurisé est-il un défi individuel ou organisationnel ? La psychologue Inge Wetzer présente ses recherches et ses conclusions lors de la conférence ONE 2023.

... > Programme SAFE pour un comportement sécurisé > Analyser les comportements pour améliorer la résilience Cyber de votre personnel

Aider les gens à adopter un comportement plus sûr dans le monde digital

Comment aider les gens à se comporter de manière plus sûre dans le monde digital ? C'est une question sur laquelle la psychologue Inge Wetzer travaille depuis deux décennies. Lors de la conférence ONE 2023, elle présente ses dernières recherches sur l'augmentation de la résilience Cyber des personnes. Elle se concentre sur le rôle de l'auto-efficacité, c'est-à-dire la confiance en ses propres capacités, et sur le rôle de la culture organisationnelle. Elle partage ses résultats sur l'auto-efficacité ci-dessous.

L'auteur : Inge Wetzer, psychologue sociale cybersécurité et conformité.

Comportement sûr : le grand écart

Au cours de la dernière décennie, nous avons compris que les personnes jouent un rôle essentiel dans la cybersécurité, au même titre que la technologie et les processus.

La psychologie a joué un rôle clé en nous montrant que la sensibilisation ne suffit pas lorsqu'il s'agit de l'aspect humain. Il y a une nette différence entre savoir ce qu'il faut faire et le faire réellement. L'objectif devrait donc être de promouvoir un comportement sûr.

Je suis encouragé de voir que des programmes plus récents et plus développés mettent désormais l'accent sur la promotion d'un comportement sûr en tant qu'objectif final.

Image in image block

La psychologue Inge Wetzer présente ses conclusions lors de la conférence ONE 2023

La volonté joue un rôle important

J'aimerais aller un peu plus loin et me concentrer sur certains facteurs clés qui influencent le comportement : l'auto-efficacité et la culture organisationnelle. J'ai rassemblé et examiné des données qui permettent d'approfondir notre compréhension du comportement et, en fin de compte, de rendre les gens plus résilients.

Mais tout d'abord, un petit rappel sur la psychologie fondamentale qui sous-tend le comportement. Il s'agit d'un mélange de trois éléments : la capacité, la motivation et l'opportunité.

Image in image block

Les bases de la psychologie du comportement

Pour cette étude, je me suis concentrée sur le deuxième élément, à savoir la motivation. Notre niveau de volonté influence grandement nos actions. Je trouve cet aspect particulièrement fascinant et j'ai donc décidé de concentrer mes efforts sur ce domaine pour nos clients.

La croyance des gens en leurs propres capacités

La motivation est un concept à multiples facettes, façonné par divers éléments : le sentiment de choix (est-ce que je fais cela parce que je le dois ou parce que je le veux ?), le sentiment d'importance (est-ce que je crois que c'est important ?) et aussi l'auto-efficacité.

C'est cet aspect que j'ai approfondi. L'auto-efficacité consiste à savoir dans quelle mesure les gens croient qu'ils peuvent réellement adopter le comportement en question. Suis-je vraiment capable de le faire ?

En général, les gens évitent les tâches si leur auto-efficacité est faible, mais ils sont plus enclins à s'attaquer à des tâches lorsqu'ils pensent qu'ils peuvent vraiment le faire. J'ai voulu étudier comment cet élément joue un rôle dans le comportement de sécurité en ligne. Si je parviens à établir un lien entre le comportement et l'efficacité personnelle, cela pourrait nous donner des indications utiles sur la manière de modifier efficacement les comportements.

Gestionnaires de mots de passe : le fossé entre savoir et faire

Pour cette étude, notre équipe a recueilli des informations par le biais d'une enquête en ligne centrée sur les gestionnaires de mots de passe. Sur près de 2 400 personnes interrogées dans quatre organisations, nous avons découvert que 68 % d'entre elles savent ce qu'est un gestionnaire de mots de passe et quelles sont ses fonctions. Du point de vue de la sensibilisation, c'est un chiffre plutôt satisfaisant.

Cependant, les données montrent que seulement 21 % des personnes interrogées utilisent réellement un gestionnaire de mots de passe. Cela signifie que près de la moitié des personnes interrogées connaissent l'existence des gestionnaires de mots de passe mais choisissent de ne pas les utiliser.

Nous avons constaté que l'efficacité personnelle des personnes qui n'utilisent pas de gestionnaire de mots de passe est nettement inférieure à celle des personnes qui en utilisent un. Cela montre que la confiance d'une personne dans sa capacité à utiliser l'outil est un facteur clé pour convertir cette awareness en action.

En d'autres termes, si les gens pensent qu'ils peuvent se débrouiller avec un gestionnaire de mots de passe, ils sont plus susceptibles d'en télécharger et d'en installer un.

Image in image block

Les gens savent-ils ce qu'est un gestionnaire de mot de passe et, si oui, en utilisent-ils un ?

Cette constatation est très intéressante, car elle implique que l'efficacité personnelle peut être l'un des boutons les plus efficaces à actionner lorsque vous essayez de modifier un comportement. Au lieu de répéter les règles ou de faire une belle affiche pour promouvoir l'utilisation d'un gestionnaire de mots de passe, il serait plus efficace de renforcer l'auto-efficacité. Mais comment ?

Expérience de maîtrise

Lorsqu'il s'agit de renforcer l'efficacité personnelle, le moteur le plus puissant est l'expérience de maîtrise. Avez-vous déjà accompli avec succès une tâche similaire ? Si c'est le cas, vous vous sentirez probablement confiant à l'idée de vous y atteler à nouveau.

Cependant, les expériences de maîtrise sont une arme à double tranchant. Si les expériences positives peuvent renforcer votre efficacité personnelle, les expériences négatives peuvent l'affaiblir. Si vous cherchez à convaincre vos employés hésitants d'utiliser un gestionnaire de mots de passe, essayez de leur offrir une expérience de maîtrise positive.

L'interactivité plutôt que la présentation

Au lieu de vous contenter d'une présentation sur le fonctionnement d'un gestionnaire de mots de passe, envisagez d'organiser une démonstration interactive. Guidez un groupe tout au long du processus de téléchargement et de configuration d'un gestionnaire de mots de passe. Répondez à leurs questions étape par étape et, à la fin, ils auront une expérience de première main qui prouvera qu'ils peuvent le faire.

Vos chances de réussite augmentent si vous fixez une limite de temps pour la démonstration. Vous pouvez dire aux participants : "Vous n'aurez pas besoin de passer beaucoup de temps à comprendre ; nous vous guiderons tout au long du processus. Il suffit d'une heure pour que le gestionnaire de mots de passe soit installé, qu'un compte soit créé et que vos cinq principaux comptes soient stockés en toute sécurité", ce qui peut s'avérer très efficace. C'est l'approche que je recommanderais pour renforcer l'auto-efficacité des gestionnaires de mots de passe.

Pour d'autres comportements, l'approche de la création d'expériences de maîtrise peut varier légèrement.

Par exemple, si vos employés se sentent moins sûrs d'eux pour repérer les courriels de Phishing, vous pourriez leur proposer une formation qui leur permette de mettre en pratique les compétences pour lesquelles ils manquent de confiance. Comme dans le sport, la pratique et la répétition les aideront à réaliser qu'ils peuvent s'améliorer et devenir compétents.

Améliorer la résilience Cyber de votre personnel

En résumé : la confiance des gens en leurs propres capacités est un aspect comportemental important, que nous pouvons exploiter pour obtenir un comportement sûr. Après tout, c'est ce que nous visons tous.

Highlight-image

A propos de l'auteur

Inge Wetzer est titulaire d'un doctorat en psychologie sociale et a étudié les gens pendant plus de 20 ans, notamment à l'université de Tilburg et à la TNO. Depuis 2016, elle se concentre sur le facteur humain dans la cybersécurité. Elle travaille chez Bureau Veritas Cybersecurity en tant que psychologue principale cybersécurité et conformité au sein de l'équipe comportementale.

Services de comportement

Related image

Programme SAFE

Comment sensibiliser vos collaborateurs à la cybersécurité ? Découvrez le programme SAFE de Bureau Veritas Cybersecurity pour promouvoir des comportements cyber-sécuritaires au sein de votre organisation.

 Related image

Sensibilisation au Phishing

Créez et lancez des simulations internes de Phishing à des fins de formation et de sensibilisation.

 Related image

Apprentissage en ligne sur la sécurité

Bureau Veritas Cybersecurity a compilé des exemples courants dans des modules de formation en ligne sur des sujets liés à la sécurité et à la vie privée et sur ce que les employés doivent savoir pour se comporter en toute sécurité au travail.
Logo

Contact

Vous souhaitez renforcer la résilience Cyber de vos collaborateurs ? Laissez Bureau Veritas Cybersecurity vous aider. Remplissez le formulaire de contact et nous vous répondrons dans un délai d'un jour ouvrable.

Quote by

Inge Wetzer

Pourquoi choisir Bureau Veritas Cybersecurity


Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.