2mn de lecture.
Face à l’actualité toujours plus intense en matière de sécurité numérique, comment le nudge et la cybersécurité peuvent répondre ensemble ?
Partons de quelques constats comportementaux simples.
Cher réseau, j’espère que vous vous portez bien en ce mois de février et que votre cerveau en mode « solution » est en pleine forme !
🔎 Ce mois-ci, c’est avec une complice que j’ai posé les bases de ce post.
Il s’agit de Pauline Le Dreff. Aujourd’hui, formatrice en Gestion de projet, Innovation, Développement Durable et RSE, Pauline a été cofondatrice d’une société spécialisée en outil de cartographie et de catalogage des données. Elle a été formée à l’institut des Hautes Etudes de Défense Nationale et la cybersécurité, elle l’a vécue sur le terrain !
Eh bien, après un travail d’interprétation des observations de Pauline, voici un condensé :
- Premièrement, les auteurs des attaques sont de plus en plus forts !
- Deuxièmement, ils ont tout compris sur nos faiblesses et nos erreurs systématiques.
Ils se révèlent, de ce fait, être de puissants analystes des comportements : Ils jouent avec nos peurs, notre état de fatigue, nos envies de gains, ils flattent nos egos, ils nous pressent d’agir et exploitent notre tendance à procastiner.
Nous avons beau avoir identifié les bonnes pratiques pour protéger nos mots de passe, nos ordinateurs, nos téléphones, les enseigner, avoir suivi le super Mooc de l’ANSSI – Agence nationale de la sécurité des systèmes d’information, être parfaitement en phase avec ces règles à mettre en place, et faire de beaux PDF de rappel, il manque inlassablement UN chainon manquant, LE chainon manquant ! … :
Celui de la recommandation à la mise en application. Immédiate ET dans le temps !
Pour illustrer notre article, voici quelques comportements et erreurs récurrents qui sont observés dans les bureaux des entreprises. Mais auparavant, faisons un petit rappel nécessaire de ce qu’est le nudge.
Petit rappel de ce qu’est le nudge
Souvent traduit par coup de pouce, le nudge est l’outil pratique né de 50 ans de recherche en sciences comportementales et de plusieurs prix Nobel. Sa vocation est d’encourager des comportements positifs utiles au collectif grâce à des leviers incitatifs. RH, gestion de projet, QHSE, management, RSE, formation, organisation, énergie, santé, gestion du temps, mobilité… le nudge est un allié utile et précieux dans un nombre infini de situations et de contextes. Il peut prendre la forme de sons, d’images, de mots et/ou d’organisation dans l’espace.
Nudge et Cybersécurité ? Voici comme annoncé les quelques comportements récurrents observés dans les entreprises
- Des mots de passe de salariés écrits dans un cahier en évidence sur le bureau ou sur un post-it collé bien en évidence sur son PC au regard de personnes bienveillantes et MOINS bienveillantes,
- Des mots de passe ultra simples, comme la date de naissance ou le prénom de l’épouse. Un mix de 7 lettres et chiffres est crackable en une seconde !
- Des clés USB que l’on connecte sans se poser de questions aux PC sans les avoir passé au scanner de virus,
- Des mises à jour de logiciels repoussées régulièrement,
- Des envois de documents sensibles (RIB, pièces d’identité, …) par mail.
Comment y faire face ? Découvrez dans cette seconde partie, 3 erreurs courantes sur lesquelles le nudge peut agir :
Ces 3 erreurs ou déviations courantes peuvent limiter une mise en application des bonnes pratiques en matières de cybersécurité.
1. » Croire que tout le monde est au même niveau «
Tout le monde sait désormais qu’il faut des mots de passe robustes. Qu’il faut également mettre à jour régulièrement ses logiciels pour contrer les failles invasives. Sans compter qu’il ne faut pas connecter une clé USB sans l’avoir passer au scanner de virus avant …
Eh bien non !
Tout le monde n’a pas le même niveau de maturité et de conscience des risques !
Pour Robert c’est du chinois…
1 levier NUDGE / CYBERSECURITE ?
Une échelle d’évaluation sur la capacité de Robert à appliquer les bonnes pratiques
2. « Se contenter de piqûres de rappel »
- La solitude et le manque de méthodes des responsables RSSI pour faire appliquer les bonnes pratiques sont minimisés.
- La conversion en “actions réelles” des “bonnes recommandations” est peu ou pas mesurée.
- Les exemples de risques sont trop éloignés des activités quotidiennes des personnes formées…
1 levier NUDGE / CYBERSECURITE ?
Nous pourrions imaginer un badge de progression que l’on appellerait « Super Cyber ». Ce badge permettrait à Robert de passer en 1 an, de débutant à expert !
3. » Ne pas écouter ses alertes intérieures «
Lorsque l’on fait face à une arnaque, on est tout seul devant son écran. Et la plupart du temps, on réagit en fonction de son état du moment : pressé, inquiet, flatté…
Des témoignages comme celui-ci sont monnaies courantes :
- “Et pourtant, avec du recul maintenant, j’avais vu que l’interlocuteur qui avait l’habitude de me tutoyer s’était mis à me vouvoyer »
- » Je savais bien que cette demande de RIB était bizarre… »
- » J’avais remarqué la faute dans l’adresse mail…”
1 levier NUDGE / CYBERSECURITE ?
Le report d’1 heure de l’action et la check-list des doutes !
Cher lecteur,
Ces 3 erreurs courantes présentées, il en existe une multitude d’autres. Avez-vous repéré également des erreurs courantes sur lesquelles le nudge pourrait agir ?
Si oui, laissez votre commentaire, pour aider la cybersécurité à aller plus loin dans l’application au quotidien des bonnes pratiques.
Et n’oubliez pas : de quelques personnes à quelques milliers, sachez qu’un nudge peut faciliter l’adoption d’un nouveau comportement vertueux. Mais attention, démarche éthique oblige !