En mars 2020, tout le monde a été invité à travailler à domicile dans la mesure du possible. Ce changement de situation actuel présente des défis non seulement technologiques mais aussi humains pour la sécurité de l'information. Les organisations devront adapter leurs campagnes de sensibilisation et leurs formations pour cibler les problèmes spécifiques au travail à domicile, confrontés aux nouveaux obstacles liés à la sécurité auxquels leurs employés et clients pourraient être confrontés.
Afin de maintenir la sécurité personnelle et organisationnelle, les individus doivent percevoir les risques de sécurité de l'information de manière réaliste. Cependant, les jugements des gens concernant les risques de sécurité de l'information sont influencés par un large éventail de biais cognitifs.
Les biais cognitifs sont des caractéristiques inhérentes à la nature humaine et sont présents dans la vie quotidienne. Les préjugés font référence à une prédisposition à penser d'une certaine manière et à affecter nos décisions, jugements et comportements ultérieurs.
Ces biais surviennent souvent lorsque nous interprétons le risque et make décisions, particulièrement en période d’incertitude. Il existe une multitude de biais cognitifs qui ont un impact et des conséquences sur la façon dont nous percevons les risques liés à la sécurité de l’information. Ici, je discuterai de deux biais cognitifs : le biais d’optimisme et la pensée fataliste.
Biais d'optimisme et sécurité de l'information Le biais d'optimisme est parfois utilisé de manière interchangeable avec «excès de confiance» et fait référence au phénomène par lequel les individus croient qu'ils sont moins susceptibles que les autres de subir un événement négatif. On dit que ce biais particulier transcende l'âge, la race et le sexe.
Par exemple, les experts ont démontré la présence du biais d'optimisme au début de la crise du COVID-19. Des recherches ont révélé que, du moins au début de l'épidémie, les gens sous-estimaient leur propre risque de tomber malade ou de transmettre le virus.
Le biais d'optimisme a également été démontré dans la perception des risques liés à la sécurité de l'information. De nombreux rapports indiquent que les individus estiment que leur risque d'attaques de sécurité de l'information, comme le phishing, est inférieur à celui des autres.
Un récent sondage mené auprès de 2000 77 travailleurs à distance a révélé que XNUMX% d'entre eux ont déclaré ne pas s'inquiéter de la sécurité lorsqu'ils travaillaient à domicile. Cela s'étend également aux contextes organisationnels, où les individus pensent que leur propre organisation est relativement moins menacée par les menaces à la sécurité de l'information que les autres organisations concurrentes.
Pensée fataliste et sécurité de l'information La pensée fataliste fait référence à une perspective où les individus peuvent croire qu'ils n'ont pas le pouvoir d'influencer personnellement les risques, car les risques sont contrôlés par des forces externes. En matière de sécurité de l'information, cela peut signifier qu'il n'y a rien que vous puissiez faire personnellement pour empêcher une attaque de phishing, car vous allez quand même être victime d'une attaque de phishing. Ou croire que tout est «piratable» et qu'il n'y a donc aucun intérêt à protéger.
Ce sentiment peut augmenter avec le travail à domicile, car les employés sont éloignés du soutien organisationnel habituel.
Pourquoi est-ce important ?Aussi opposés que la pensée fataliste et le biais d'optimisme, ils découlent tous deux d'interprétations erronées du risque et peuvent entraîner des conséquences comportementales similaires. Les individus peuvent à la fois être optimistes quant à leurs propres risques et croire qu'ils n'ont de toute façon pas le pouvoir de réduire les risques.
En plus d'entraîner des perceptions incorrectes, les biais d'optimisme et la pensée fataliste peuvent entraîner une vulnérabilité accrue. Si les individus ont un préjugé optimiste concernant les menaces à la sécurité de l'information, ils peuvent ne pas prendre les mesures de précaution pour réduire les risques. De même, si les individus croient que les risques sont dictés uniquement par des forces externes, cela réduira également les mesures de précaution. Ces deux biais peuvent donc augmenter le risque.
Comment pourrions-nous réduire l'augmentation des biais de risque?Même si ces préjugés sont fortement enracinés, tout n’est pas perdu. Au lieu de considérer l’humain comme le « problème », empowerInciter les employés à participer à la solution aux problèmes de sécurité de l’information pourrait être une voie à suivre.
Il peut être utile d'adopter une approche «humaine comme solution» de la sécurité de l'information. Dans le domaine de la sécurité de l'information, les humains sont souvent considérés comme le plus gros problème. Par conséquent, des efforts sont faits pour les exclure et les contrôler. Cela supprime la possibilité pour les individus de contribuer à la cybersécurité de leur organisation.
Il n'est vraiment pas surprenant que les individus manifestent des biais de perception s'ils se sentent comme le maillon le plus faible. Au lieu de cela, les organisations devraient apprendre et impliquer les employés dans la sécurité de l'information.
Par exemple, les organisations pourraient demander aux employés les risques et problèmes de sécurité de l'information qu'ils pourraient rencontrer ou envisager de rencontrer lorsqu'ils travaillent à domicile.
Premièrement, cela pourrait réduire la pensée fataliste en démontrant comment les employés peuvent jouer un rôle actif dans la réduction des risques de sécurité de l'information. Deuxièmement, cela pourrait réduire le biais d'optimisme en prenant conscience des problèmes de sécurité et en apprenant d'une attitude positive. Par conséquent, l'apprentissage des employés pourrait accroître la sécurité globale.
Comprendre les préjugés peut également aider les organisations à adapter les informations et la formation. Former les gens à comprendre et à gérer le risque devrait être au premier plan. En particulier dans le cas de la pensée fataliste, les organisations peuvent s'efforcer d'éliminer les appels à la peur comme moyen de communication et d'augmenter le moral des employés et les capacités des employés à faire face aux menaces.
Résumé Dans l'ensemble, les biais cognitifs tels que l'optimisme irréaliste et la pensée fataliste sont présents dans notre vie quotidienne et peuvent avoir des impacts négatifs pour l'atténuation des risques. Cependant, les biais cognitifs sont des mécanismes normaux dans la pensée humaine et considérer l'humain comme une solution, plutôt qu'un problème, pourrait peut-être en soi atténuer les risques posés par les biais.
