Examen psychologique du facteur humain dans la sécurité informatique

Une grande partie des incidents liés à la sécurité informatique est attribuée à un mauvais comportement humain devant l’ordinateur. La recherche en psychologie sur ce sujet n’en est qu’à ses débuts. Nous avons discuté avec Jona Karg, responsable de la HIN Academy, des résultats de son enquête auprès des membres HIN.

 

En raison de la numérisation croissante au sein du système de santé, les cyberattaques peuvent avoir des conséquences graves, voire mortelles. «Les voies d’attaque et les ruses des cybercriminels sont désormais bien documentées. Ce que nous ne comprenons pas encore suffisamment, c’est pourquoi elles fonctionnent», explique Jona Karg, responsable de la formation chez HIN.

En février 2020, nous avions publié un rapport sur la dimension psychologique de la sécurité informatique, et nous vous avions demandé de participer à une enquête. L’évaluation de l’enquête est maintenant disponible. Jona a inclus ces informations dans son mémoire de bachelor en psychologie appliquée à la ZHAW. Nous nous sommes entretenus avec lui et l’avons interrogé sur ses conclusions.

 

Jona Karg

Jona Karg

Jona Karg est diplômé en psychologie appliquée. Ses travaux scientifiques explorent le rôle de l’être humain dans la sécurité informatique. En tant que responsable de la formation chez HIN, il est responsable du développement des formations de sensibilisation et du portail E-learning.

La connaissance, c’est le pouvoir – et ce également pour les professionnels de santé

«Tout d’abord, je tiens à remercier les membres de la communauté HIN qui ont participé à l’enquête», déclare Jona Karg. «Même si ma recherche n’est qu’une petite contribution à un sujet très vaste, elle m’a permis d’obtenir des informations essentielles et parfois surprenantes.»

Quelle a été le principal constat de Jona? «Que la connaissance constitue le facteur humain le plus important en matière de sécurité informatique!» Pour expliquer cela, il évoque le construit de la sensibilisation à la sécurité de l’information (ISA – Information Security Awareness), qui est relativement bien établi dans la recherche. Celui-ci se compose de trois variables: la connaissance et l’attitude qui affectent le construit, et le comportement, qui est affecté par le construit. «Mes recherches ont montré que parmi ces trois facteurs, la connaissance a la plus grande corrélation significative avec l’ISA.»

Ce résultat ne doit toutefois pas être considéré comme absolu, car une partie du travail de Jona consistait à interpréter ce construit pour les régions germanophones et le système de santé. En outre, le résultat est basé sur un échantillon relativement faible, ce qui ne permet pas de généraliser. «Cependant, de nombreux éléments indiquent que la prise de conscience par rapport aux défis et aux risques en matière de sécurité de l’information est principalement influencée par la connaissance – ou le manque de connaissance – du sujet», constate Jona.

 

La propension au risque des collaborateurs constitue un risque pour l’entreprise

Au niveau des facteurs liés à la personnalité, une propension au risque plus élevée de l’individu indique une probabilité plus élevée que cette personne clique par exemple sur des liens dans des e-mails provenant d’expéditeurs inconnus. «Dans la pratique, on constate une plus grande propension au risque, par exemple dans le choix de loisirs plus aventureux. Mais cela ne signifie pas pour autant que les collaborateurs qui sautent à l’élastique dans leur temps libre représentent généralement un risque plus élevé pour la sécurité informatique», précise Jona.

Néanmoins, des mesures organisationnelles et techniques doivent être prises pour éviter de tenter les utilisateurs ou pour minimiser les effets d’un mauvais comportement. Par exemple, des privilèges restreints, un bon pare-feu et une règle générale concernant l’ouverture des liens sont une bonne idée. «La mesure dans laquelle cette règle est ensuite respectée est bien sûr une autre histoire.»

Que révèle la recherche sur l’attitude? «Une attitude positive envers la sécurité informatique semble avoir une influence négative sur le comportement. J’ai été assez étonné de ce résultat, mais il doit être examiné de plus près dans le cadre de recherches ultérieures, d’autant plus qu’il ne s’est révélé que marginalement significatif», explique Jona Karg. Il pourrait cependant s’expliquer par la présence d’un biais cognitif. «Quand on agit selon la devise ‹Je suis bien préparé, donc cela ne m’affectera pas›, la sécurité informatique est considérée comme allant de soi, ce qui a un impact négatif sur le comportement.»

 

L’humain ne doit pas être considéré comme un «point faible» du système. Des collaborateurs bien formés ont le potentiel pour intervenir là où la technologie échoue.

Ne pas considérer les humains comme un simple «point faible»

Il est important pour Jona de souligner que l’humain ne doit pas être considéré de manière simpliste comme un «point faible» du système. «Le véritable point faible est l’interface entre l’homme et la technologie!» Le traitement des données doit donc être au service de l’humain et développé en conséquence, de manière conviviale.

En outre, des domaines plus établis en matière de psychologie de la sécurité, tels que l’aviation, ont très clairement montré que des collaborateurs bien formés ont le potentiel pour intervenir avec succès là où – comme c’est souvent le cas aujourd’hui – la technologie échoue. «Dans la pratique, lors de l’élaboration des mesures de sensibilisation, il est donc conseillé de mettre l’accent sur les connaissances et les compétences des utilisateurs en matière de sécurité informatique.»

Et maintenant? «La recherche en psychologie sur la sensibilisation à la sécurité (Security Awareness) n’en est qu’à ses débuts», déclare Jona Karg. C’est pourquoi ce dernier souhaite désormais approfondir ses recherches dans le cadre d’un master. Il affirme également que l’expérience que lui et son équipe de la HIN Academy ont acquise dans leurs échanges avec les collaborateurs du système de santé et du secteur social est d’autant plus importante. «Cette expérience vient aussi constamment alimenter nos activités et le développement de nos services. Une conception centrée sur l’utilisateur – cela rend le travail extrêmement passionnant!»

 

Informations supplémentaires