Le cadre MINDSPACE : Quels facteurs influencent le comportement humain?
Même si vous possédez les meilleurs outils technologiques et processus de contrôle de l’accès à l’information au sein de votre organisation, ce n’est pas suffisant : il faut aussi investir dans le facteur humain! Peu importe les outils en place, ces derniers seront totalement inefficaces si vos utilisateurs ne savent pas comment s’en servir efficacement, ou s’ils ne sont tout simplement pas motivés à le faire. Selon une récente étude, une mauvaise compréhension du rôle du facteur humain serait la principale cause de l’échec des programmes en sensibilisation à la cybersécurité pour changer le comportement des employés.
Le facteur humain: mieux le comprendre pour mieux le changer
Afin d’agir sur le facteur humain, il faut d’abord le comprendre! Le cadre du MINDSPACE permet de comprendre ce qui motive les comportements chez l’humain – et donc de changer ces comportements. Ce cadre a été créé en 2012 et est fréquemment utilisé afin d’influencer le changement de comportements. Ce cadre a d’ailleurs, permis d’assurer le succès de plusieurs programmes de sensibilisation à la sécurité de l’information. Voici comment vous pouvez intégrer les neuf composantes du MINDSPACE lors de vos prochaines campagnes de sensibilisation à la sécurité de l’information.
Les neuf composantes du cadre MINDSPACE
Les connaissances transmisent lors d’une campagne de sensibilisation en cybersécurité doivent, avant tout, être perçues comme utiles et véridiques par les utilisateurs.
M : Le Messager
Un des aspects les plus importants à ce niveau repose sur la crédibilité de celui qui transmet l’information : le Messager. Lors de votre prochaine campagne de sensibilisation, permettez à certains employés formés de devenir eux-mêmes des messagers auprès de leurs collègues de travail. De cette façon, vous pourrez vous attendre à une plus grande adhésion (engagement) de la part de vos employés.
I : Les Incitatifs
Les employés doivent évoluer dans un environnement qui soutienne le changement de comportement attendu. Mais comment faire? D’abord, en offrant les Incitatifs nécessaires aux employés pour qu’ils s’engagent dans le changement de comportement demandé. Autrement dit, les efforts de vos employés doivent être reconnus et récompensés par la haute direction ou encore le supérieur immédiat.
N : Les Normes
Également, il ne faut oublier que les employés ajustent, consciemment ou inconsciemment, leurs comportements en fonction des Normes sociales qui les entourent. Vos employés laissent constamment traîner des dossiers confidentiels à la portée de tous? Montrer l’exemple en rangeant systématiquement vos dossiers dans un classeur fermé. Faites de cette pratique la norme plutôt que l’exception en félicitant publiquement les employés adoptant le comportement voulu.
D : Le Défaut
Mais pourquoi est-ce si important de modifier l’environnement afin de changer le comportement de nos employés? D’abord, l’humain a une tendance naturelle à accepter l’option ou le choix « par Défaut » lorsqu’il doit prendre une décision. Une manière de favoriser l’adoption d’un comportement chez un utilisateur est de présélectionner pour lui le choix par défaut pour qu’il corresponde au comportement attendu. Sachant que les employés auront tendance à accepter les paramètres de sécurité « par défaut » sur leur ordinateur de travail, assurez-vous que ces paramètres respectent les normes et règles de confidentialité en vigueur dans votre organisation.
S : L'effet de Saillance
Ensuite, lorsque l’humain est exposé à plusieurs informations en même temps, il a tendance à réagir à ce qu’il perçoit comme le plus important (l’effet de Saillance).
P : L'effet de Priming
De la même façon, son comportement est fortement influencé par ce qui lui vient spontanément à l’esprit (l’effet de Priming). L’utilisation de matériel de communication, tel que des posters ou des bannières, rappellent à vos employés les bonnes pratiques à adopter en matière de cybersécurité. Les simulations d’hameçonnage peuvent également être utilisées afin de garder vos employés constamment « en alerte » face aux menaces potentielles.
A : Les Affects
Les Affects sont au cœur même de la motivation à changer un comportement . La façon de présenter les formations aux employés, ainsi que le format du matériel utilisé dans ces formations auront un impact direct sur la motivation. Certaines règles d’or doivent donc être respectées : planifier adéquatement la communication entourant le déploiement d’une activité de formation, s’assurer de la pertinence du matériel de formation présenté aux employés ou encore expliquer aux employés les raisons de la formation, ainsi que leur rôle dans la prévention de brèches de sécurité.
C : La Consistance
L’utilisateur cherche également la Consistance dans son comportement, c’est-à-dire qu’il doit sentir que son comportement est en accord avec ce qui est attendu de lui. Il est suggéré d’établir des attentes claires par rapport aux changements de comportement attendus chez vos employés suite au déploiement d’une campagne de sensibilisation en cybersécurité. De la même façon, vous devez leur donner une rétroaction quant à l’atteinte de ces attentes en vous basant sur une approche rigoureuse.
E : L'Ego
Mais attention! Vos rétroactions doivent être données tout en vous assurant de préserver l’Ego de vos employés. Les employés doivent, en tout temps, se sentir compétents et comprendre la façon exacte dont leurs actions permettent de prévenir les brèches de sécurité potentielles. Nous comprenons, alors, pourquoi les stratégies visant à instaurer un sentiment de peur ou de menace chez les utilisateurs ne sont pas les meilleures afin de les motiver à changer leurs comportements.
Tenir compte du facteur humain dans la planification des programmes de sensibilisation à la cybersécurité
Le cadre MINDSPACE est un outil concret pour réfléchir à la façon de tenir compte du facteur humain dans la planification des programmes de sensibilisation à la sécurité de l’information. Il permet également de questionner la façon dont certaines organisations abordent la sécurité de l’information avec leurs employés. Afin d’avoir un effet optimal, ce cadre doit néanmoins s’inscrire dans une démarche structurée et éprouvée . De plus, il faut avoir en tête qu’un bon programme en sensibilisation à la cybersécurité devrait pouvoir agir sur l’ensemble des neuf éléments du MINDSPACE. On ne peut donc pas s’attendre à un changement de comportement si l’on choisit, par exemple, de seulement utiliser des simulations d’hameçonnage comme activité de sensibilisation. Ces simulations auront certainement un effet de saillance (S) et de priming (P) sur le comportement, mais sans pour autant avoir un impact sur les sept autres éléments du MINDSPACE de vos employés. Les formations interactives, les simulations d’hameçonnage et une communication constante avec vos utilisateurs est la combinaison idéale pour changer les comportements de façon durable et instaurer les meilleures pratiques de cybersécurité au sein de votre organisation.
Besoin d'aide avant de vous lancer ?
Obtenez 30 minutes de coaching gratuit avec un expert de la sensibilisation à la sécurité
Apprenez à mettre en place et à exécuter un programme de sensibilisation à la sécurité présentant des résultats mesurables.