Depuis mars 2020, il a été demandé à tous de travailler à domicile lorsque possible. Ce changement de situation présente non seulement des défis technologiques mais aussi des défis humains pour la sécurité de l’information. Les organisations devront adapter leurs campagnes de sensibilisation et leurs formations pour cibler les problèmes spécifiques au télétravail, en faisant face aux nouveaux obstacles de sécurité auxquels leurs employés et clients pourraient être confrontés.
Pour maintenir la sécurité tant personnelle qu’organisationnelle, les individus doivent percevoir les risques de sécurité de l’information de manière réaliste. Cependant, les jugements des personnes concernant les risques de sécurité de l’information sont influencés par un large éventail de biais cognitifs.
Les biais cognitifs sont des caractéristiques inhérentes à la nature humaine et sont présents dans la vie quotidienne. Les biais font référence à une prédisposition à penser d’une certaine manière et affectent nos décisions, jugements et comportements ultérieurs.
Ces biais surviennent souvent lorsque nous interprétons les risques et prenons des décisions, particulièrement en période d’incertitude. Il existe une pléthore de biais cognitifs qui ont un impact et des conséquences sur la façon dont nous percevons les risques de sécurité de l’information. Je vais aborder ici deux biais cognitifs : le biais d’optimisme et la pensée fataliste.
Biais d’optimisme et sécurité de l’information Le biais d’optimisme est parfois utilisé de manière interchangeable avec la ‘surconfiance’, et fait référence au phénomène selon lequel les individus croient qu’ils sont moins susceptibles que les autres de vivre un événement négatif. Ce biais particulier transcenderait l’âge, la race et le genre.
Par exemple, les experts ont démontré la présence du biais d’optimisme au début de la crise du COVID-19. Les recherches ont révélé qu’au moins au début de l’épidémie, les gens sous-estimaient leur propre risque de tomber malade ou de transmettre le virus.
Le biais d’optimisme a également été démontré dans les perceptions des risques de sécurité de l’information. De nombreux rapports indiquent que les individus perçoivent leur risque face aux attaques de sécurité de l’information, comme l’hameçonnage, comme étant plus faible que celui des autres.
Un récent sondage auprès de 2000 télétravailleurs a révélé que 77 % d’entre eux n’étaient pas inquiets de la sécurité en travaillant à domicile. Cela s’étend également aux contextes organisationnels, où les individus croient que leur propre organisation est relativement moins exposée aux menaces de sécurité de l’information que les organisations concurrentes.
Pensée fataliste et sécurité de l’information La pensée fataliste fait référence à une perspective où les individus peuvent croire qu’ils n’ont personnellement aucun pouvoir d’influencer les risques, car ceux-ci sont contrôlés par des forces externes. En matière de sécurité de l’information, cela peut signifier croire qu’il n’y a rien que vous puissiez faire personnellement pour prévenir une attaque d’hameçonnage, car vous en serez de toute façon victime. Ou croire que tout est ‘piratable’ et qu’il n’y a donc que peu d’intérêt à faire des efforts de protection.
Ce sentiment peut s’amplifier avec le télétravail, car les employés sont éloignés du soutien organisationnel habituel.
Pourquoi est-ce important ?Aussi opposées que puissent paraître la pensée fataliste et le biais d’optimisme, elles découlent toutes deux d’interprétations erronées du risque et peuvent conduire à des conséquences comportementales similaires. Les individus peuvent à la fois être optimistes quant à leur propre risque et croire qu’ils n’ont de toute façon aucun pouvoir pour le réduire.
En plus d’entraîner des perceptions incorrectes, le biais d’optimisme et la pensée fataliste peuvent conduire à une vulnérabilité accrue. Si les individus sont optimistes de manière biaisée concernant les menaces de sécurité de l’information, ils pourraient ne pas prendre les mesures de précaution nécessaires pour réduire les risques. De même, si les individus croient que les risques sont dictés uniquement par des forces externes, cela réduira également les actions préventives. Ces deux biais peuvent donc en réalité augmenter le risque.
Comment pourrions-nous réduire le risque accru que posent les biais ?Bien que ces biais soient profondément ancrés, tout n’est pas perdu. Au lieu de voir l’humain comme le ‘problème’, responsabiliser les employés pour qu’ils fassent partie de la solution aux problèmes de sécurité de l’information pourrait être une voie à suivre.
Il peut être utile d’adopter une approche ‘l’humain comme solution’ en matière de sécurité de l’information. En sécurité de l’information, les humains sont souvent considérés comme le plus grand problème. Par conséquent, des efforts sont faits pour les exclure et les contrôler. Cela supprime l’opportunité pour les individus de contribuer à la cybersécurité de leur organisation.
Il n’est vraiment pas surprenant que les individus manifestent des biais de perception s’ils sont amenés à se sentir comme le maillon le plus faible. Au lieu de cela, les organisations devraient apprendre de leurs employés et les impliquer dans la sécurité de l’information.
Par exemple, les organisations pourraient demander aux employés quels sont les risques et les problèmes de sécurité de l’information qu’ils pourraient rencontrer, ou envisager de rencontrer, en télétravail.
Premièrement, cela pourrait réduire la pensée fataliste en démontrant comment les employés peuvent jouer un rôle actif dans la réduction des risques de sécurité de l’information. Deuxièmement, cela pourrait réduire le biais d’optimisme grâce à la prise de conscience des problèmes de sécurité et en apprenant d’une attitude positive. Ainsi, apprendre des employés pourrait augmenter la sécurité globale.
Comprendre les biais peut également aider les organisations à adapter l’information et la formation. Former les gens à comprendre et à faire face au risque devrait être une priorité. Particulièrement dans le cas de la pensée fataliste, les organisations devraient s’efforcer d’éliminer les appels à la peur comme méthode de communication et d’augmenter le sentiment de moral et les capacités des employés à faire face aux menaces.
Résumé Dans l’ensemble, les biais cognitifs tels que l’optimisme irréaliste et la pensée fataliste sont présents dans notre vie quotidienne et peuvent avoir des impacts négatifs sur l’atténuation des risques. Cependant, les biais cognitifs sont des mécanismes normaux de la pensée humaine et considérer l’humain comme une solution, plutôt qu’un problème, pourrait peut-être en soi atténuer les risques que posent les biais.
