(English version will follow)
Les attaques d’ingénierie sociale contre les organisations et les utilisateurs ordinaires ne sont pas seulement de plus en plus communes, elles sont aussi de plus en plus sophistiquées. Près d’un quart des défaillances en cybersécurité sont dues à des erreurs humaines. L’erreur humaine est souvent citée comme un facteur significatif des défaillances, occultant le fait que les utilisateurs doivent faire face à des systèmes de sécurité complexes, des politiques de cybersécurité inefficaces et à un manque de connaissances, de temps et de soutien pour être capable d’agir contre les cyber attaques.
René van Bavel et ses collègues ont examiné si les notifications peuvent déclencher des comportements plus sécuritaires. Cette étude est fondée sur une expérimentation en ligne dans cinq pays européens: l’Allemagne, la Suède, la Pologne, l’Espagne et le Royaume-Uni. Le concept de l’expérimentation était simple: les participants devaient naviguer de manière aussi sécuritaire que possible en faisant de faux achats en ligne sur un site de cybercommerce. Plus leur comportement était sécuritaire, moins était leur probabilité d’être victime d’une cyber attaque. Les participants ont été aléatoirement assignés en quatre groupes différents: contrôle, adaptation, menace et combinaison. Selon leur groupe, les participants recevaient une notification sur les risques d’un comportement dangereux, l’objectif étant d’observer si les messages affectaient le niveau de sécurité des participants dans leur comportement en ligne.
- Groupe contrôle: reçoivent une simple notification de naviguer de manière sécuritaire;
- Groupe adaptation: reçoivent un message notifiant les utilisateurs de la facilité de minimiser les chances d’une cyber attaque ainsi que des étapes à suivre;
- Groupe menace: reçoivent un message avertissant les individus que leur comportement peut les rendre vulnérable à une cyberattaque;
- Groupe combinaison: reçoivent des messages d’adaptation et de menace.
Les résultats montrent que la probabilité d’être victime d’une cyber attaque diffère selon les groupes. La probabilité est plus élevée dans le groupe contrôle et moindre dans les groupes adaptation et combinaison. Les participants exposés à un message d’adaptation seul, ou en combinaison avec un message menaçant, se conduisent de manière plus sécuritaire que les participants du groupe contrôle. De plus, les messages menaçants seuls conduisent à une réponse défensive ou d’évitement, résultant en des abandons dans l’étude.
Cette étude aide à reconnaître que les messages incitant à la peur, ceux qui sont habituellement propagés dans les médias ou dans les campagnes des lieux de travail, ne sont pas aussi efficaces que les messages d’adaptation. Des messages d’adaptation plus forts sont plus à même d’apporter des changements de comportements, car ils donnent aux individus des informations simples et consistantes sur comment gérer une cyber attaque.
Citer: van Bavel. R., Rodríguez-Priego, N., Vila,J. et Briggs, P.. (2019). Using protection motivation theory in the design of nudges to improve online security behavior. International Journal of Human-Computer Studies, 123, 29-39,
Source: https://www.sciencedirect.com/science/article/pii/S1071581918306475.
Social engineering attacks are not only becoming more common against organizations and ordinary users, but they are also increasingly sophisticated. Nearly one-quarter of all cybersecurity failures are due to human error. Human error is often cite as a major factor but that is without understanding that users are simply faced with overly complex security systems and inoperative cybersecurity policies that they lack the knowledge, the time and the support to be able to deal with cyber threats.
Protection motivation theory is based on the idea that, when facing a threat, people conduct two assessment processes: one focuses on the threat itself (threat appraisal) and the other on their ability to act against that threat (coping appraisal). This affects their intention to take precautionary actions and results in adaptive or maladaptive behaviours towards the threat. In their threat assessment, people will consider how negative the consequences of the threat are and the probability of the threat materializing in a way that will affect them directly. This may lead to maladaptive behaviours such as denial or avoidance. In their coping assessment, people will analyse whether taking a course of action will remove the threat as well as evaluate their level of confidence in being able to carry that action out. This may lead to adaptive behaviours, providing that the costs of making an adaptive response are not too high.
René van Bavel and his colleagues examined whether online notifications could trigger more secure behaviours. The study is based on an online experiment across five European countries: Germany, Sweden, Poland, Spain and the UK. The design of the experiment was simple: participants had to navigate as securely as possible while making a mock online purchase on an e-commerce website. The more secure their behaviour was, the lower was their probability of a suffering a cyber-attack. Participants were randomly assigned into four different groups: control, coping, threat and combination. Depending of their group, participants were exposed to a notification of the risks of unsecured behaviour, the objective of the experiment being to observe if the message affected the level of security of participants’ online behaviour:
- Control group: received a basic notification to navigate securely;
- Coping group: received a coping message notifying users that it was easy to minimize the chances of a cyber-attack and also indicated what steps to take;
- Threat group: received a message warning individuals that their behaviour could leave them vulnerable to a cyber-attack;
- Combination group: received both coping and threat message.
The results showed that the probability of suffering a cyber-attack differed across groups. The probability was higher in the control group and lower in the coping and combination groups. Participants exposed to a coping message only, or in combination with a threat message, behaved more securely than participants in the control group. Moreover, threat messages only are more likely to lead to a defensive or avoidant response, which results in dropout in the study.
This study helped to recognize that the ‘fear’ message, one most typically propagated via medias and workplace campaigns, are not as effective as coping message. Stronger coping messages are much more likely to bring secure behaviour change as it gives individuals simple, consistent information about how to deal with a cyber-threat.
Cite: van Bavel. R., Rodríguez-Priego, N., Vila,J. and Briggs, P. (2019). Using protection motivation theory in the design of nudges to improve online security behavior. International Journal of Human-Computer Studies, 123, 29-39,
Source: https://www.sciencedirect.com/science/article/pii/S1071581918306475.
