Trouver le maillon faible dans le maillon faible

Les menaces liées au cybercrime ont créés une augmentation importante de dépenses en surveillance et logiciels de la part des compagnies et gouvernements pour se protéger contre toutes ces menaces. Cependant, ils occultent souvent un des risques premiers à la cybersécurité : les utilisateurs.

Les utilisateurs ordinaires, et non les technologies, sont souvent décrits comme la source ultime de la plupart des brèches en cybersécurité et de ce fait, ils sont le maillon faible de la chaîne en cybersécurité. Pour reprendre les propos de Kevin Mitnick, un pirate informatique, lors de son témoignage devant le Congrès américain : « le côté humain de la sécurité informatique est facilement exploité et constamment négligé. Les compagnies dépensent des millions de dollars en pare-feu, cryptage, achat d’appareils de sécurité et c’est de l’argent gâché car aucune de ces mesures n’adresse le maillon faible de la chaîne de la sécurité ». En s’intéressant au maillon faible, on déplace l’attention portée sur la cybersécurité en tant que technologie vers la capacité de l’être humain à protéger et à défendre de manière effective et efficace le cyberespace.

L’étude de Zheng Yan et ses collègues s’intéresse au phénomène du maillon faible parmi une population d’étudiants universitaires. Leur étude à quatre objectifs :

  • Identifier une population particulière dans le maillon faible afin de présenter les utilisateurs comme étant une population hétérogène formant le maillon faible. Cette étude porte sur des étudiants de premier cycle universitaire. Les étudiants utilisent fréquemment les technologies, mais reçoivent aussi peu de formation sur leurs utilisations.
  • Identifier des caractéristiques particulières (personnalité, culture, genre, etc.) au sein de cette population.
  • Étudier le discernement des étudiants quant à des questions de cybersécurité (divulgation d’informations, mot de passe, etc.). Les participants ont dû répondre à un questionnaire basé sur un ensemble de scénarios.
  • Étudier le discernement intuitif et le jugement rationnel lors de la prise de décision.

Dans cette étude, le taux moyen de discernement en cybersécurité est estimé à 65 %. Ce pourcentage suggère que les étudiants universitaires représentent un groupe capable de juger adéquatement les situations problématiques en cybersécurité comparativement à un groupe qui n’aurait aucune connaissance.

Cette étude permet aussi de différencier trois catégories d’utilisateurs ordinaires soit ceux qui ont discernement faible, modéré ou élevé en cybersécurité. Il est donc important de concentrer ses efforts sur l’amélioration des capacités des utilisateurs ordinaires tout en ne les considérant pas comme un groupe homogène.

Citer: Yan, Z., Robertson, T., Yan, R., Park, S. Y., Bordoff, S. Chen, Q. et Sprissler, E. (2018). Finding the weakest links in the weakest link: How well do undergraduate students make cybersecurity judgment? Computers in Human Behavior, 84, 375-382.

Source: https://www.sciencedirect.com/science/article/pii/S0747563218300773