Nous savons que le facteur humain et l’engagement des employés sont primordiaux à considérer lorsque nous parlons de sensibilisation à la cybersécurité. Vous avez beau investir dans des technologies ou des processus hautement sophistiqués, vos employés resteront toujours la dernière ligne de défense afin de pouvoir déjouer une cyberattaque. Mais ce sont également ceux qui sont les plus difficiles à mobiliser!
En 2017, une importante étude a été menée auprès d’organisations provenant de 58 pays à travers le monde. Les résultats de cette étude sont éloquents : l’engagement des employés serait un des obstacles les plus importants afin de mener à terme une campagne de sensibilisation à la sécurité de l’information. Nous savons également que la motivation fait partie des éléments essentiels à considérer pour un changement de comportements pérenne en matière de sensibilisation chez les employés.
Mais pourquoi est-il si difficile de motiver nos employés? Quels sont les principaux freins à la motivation? Et comment pouvons-nous y remédier?
Un chercheur en psychologie nommé Albert Bandura s’est intéressé à cette question il y a déjà de cela un peu plus de 40 ans. Plus spécifiquement, il a développé une théorie qui nous aide, encore aujourd’hui, à mieux comprendre ce qui pause obstacle à la motivation de l’être humain.
L’enjeu du risque perçu : ce n’est pas si grave
Dans un article scientifique fort intéressant, des chercheurs expliquent comment l’enjeu de la sensibilisation à la cybersécurité est devenu aujourd’hui un paradoxe : alors qu’il y a de plus en plus de risques en matière de sécurité de l’information, les gens semblent se sentir de moins en moins inquiets à ce sujet. Mais pourquoi? Une des hypothèses émises par les auteurs est la suivante : si on a été habitué à côtoyer un risque, on devient de moins en moins prudent à son endroit. Par exemple, la personne dira : « je n’ai jamais eu d’antivirus sur mon ordinateur personnel et je n’ai jamais eu de problème depuis les 10 dernières années » ou encore « je me suis déjà fait cloner ma carte de crédit, mais ma banque m’a avertie aussitôt et m’a remboursé les frais encourus ». C’est donc dire qu’à force de côtoyer des situations nous mettant potentiellement à risques d’être victimes de cyberattaques ou de fraudes, nous développons le sentiment d’être, en quelque sorte, immunisé contre ces risques.
Alors, quoi faire? Gérer des risques, c’est forcément donner une valeur à la probabilité qu’ils adviennent et à la gravité de leurs impacts. C’est faire comprendre à vos employés que les conséquences d’une attaque informatique peuvent avoir de graves répercussions au sein de l’organisation – mais également pour eux. Vous pouvez, par exemple, demander à vos employés de partager entre eux certaines expériences personnelles négatives suite à une situation de fraude. Vous pouvez leur faire vivre les conséquences «en direct» d’une attaque informatique par le biais de simulations d’hameçonnage ou encore de simulations d’ingénierie sociale.
L’enjeu de la responsabilité individuelle : ce n’est pas à moi de le faire
Nous avons beau comprendre les risques potentiels associés à une brèche reliée à la sécurité de l’information, il faut aussi sentir que c’est notre rôle, en tant qu’employé, de participer à la prévention de ces bris. Pourquoi prendre le temps de participer à une campagne de sensibilisation en cybersécurité si cela ne nous concerne pas? « Cela n’est pas ma responsabilité de m’occuper de la sécurité de l’information dans mon organisation, c’est la responsabilité des TI », diront plusieurs. Voilà le second obstacle que vous pouvez rencontrer lors du déploiement d’une campagne de sensibilisation. Les employés ne se sentant pas concernés par la sécurité de l’information ne peuvent tout simplement pas comprendre leur rôle dans la prévention des brèches de sécurité.
Se sentir concernée par une situation, c’est d’abord être en mesure de réaliser que nos comportements actuels ne sont pas en concordance avec les comportements attendus en matière de sécurité de l’information. Une excellente façon de faire prendre conscience de ce fait à vos employés est de leur faire passer un test de connaissances (Quiz). En plus d’être en mesure d’obtenir un score objectif de leurs connaissances en matière de sécurité de l’information, ils pourront également comparer leurs propres scores à ceux de leurs collègues. Voilà une excellente façon de créer l’opportunité d’entamer une réflexion collective sur l’importance de mettre en œuvre une campagne de sensibilisation à la cybersécurité au sein de l’organisation (en plus, vous avez des données objectives sur lesquelles vous baser afin de démontrer le besoin d’une telle campagne à vos patrons !).
L’enjeu de l’autoefficacité: je ne peux rien y faire de toute façon
Un dernier enjeu a trait au sentiment d’autoefficacité. Celui-ci réfère au sentiment qu’ont les employés quant à leur capacité d’influencer leur environnement. Autrement dit, plus un employé a un fort sentiment d’autoefficacité, plus celui-ci est persuadé que ses actions, en tant qu’individu, seront réellement efficaces afin de pouvoir prévenir une brèche de sécurité. Les employés doivent, ainsi, être convaincus d’avoir les connaissances et les habiletés nécessaires pour être en mesure de participer à la prévention de brèches potentielles en matière de cybersécurité. L’utilisation de cours en ligne ou encore de jeux de rôle, permettant l’apprentissage de nouveaux savoirs ainsi que l’application de ces savoirs à des situations concrètes, sont d’excellents outils afin de favoriser le sentiment d’autoefficacité chez vos employés. Vos employés se sentiront plus compétents et comprendrons la façon exacte dont leurs actions permettent de jouer un rôle dans la prévention de brèches potentielles en matière de sécurité de l’information.
Et pourquoi ne pas impliquer vos employés tout au long du processus?
La planification et la mise en œuvre d’une campagne de sensibilisation ne sont pas des processus qui doivent se faire en silo. Impliquer et ce, dès le départ, les employés dans le processus s’avère une excellente façon de les faire sentir davantage responsable de la prévention des risques reliés à la sécurité de l’information au sein de votre organisation. Se sentir partie prenante d’une action ou d’un projet est également un sentiment très puissant afin d’augmenter et d’entretenir la motivation à agir chez l’humain.
Finalement, n’oubliez surtout pas d’aborder la sécurité de l’information à la maison lors de vos campagnes: dans ce contexte, vos employés sont réellement les seuls à pouvoir prévenir les risques. Voilà une excellente valeur ajoutée pour vos employés de participer à votre campagne de sensibilisation : les connaissances et habiletés développées pourront également leur servir afin de protéger leurs propres informations personnelles à la maison.
Inculquez un changement comportemental à long terme!
Un livre blanc proposant une enquête centrale: comment inciter les utilisateurs finaux à changer de comportement? Apprenez les astuces clés et appliquez les recommandations d’experts dans votre prochain programme de sensibilisation à la cybersécurité. Créer une culture de sécurité dans votre entreprise commence ici! (disponible en anglais seulement)