Les utilisateurs finaux représentent souvent le maillon le plus faible quand vient le temps d’assurer la sécurité du système d’information dans les organisations. De nombreuses études ont montré que le comportement des employés reste un défi important pour la réussite de la mise en œuvre des stratégies de sécurité des systèmes d’information dans les organisations.
Dans une enquête menée par le Ponemon Institute auprès de professionnels de la sécurité informatique, près de 56 % des participants ont déclaré que la résistance des employés aux politiques de sécurité des systèmes d’information était le principal obstacle à la mise en place de stratégies de sécurité efficaces dans leurs organisations.
La mise en œuvre de stratégies de sécurité des systèmes d’information nécessite des changements de comportement dans la manière dont les utilisateurs interagissent avec les systèmes informatiques. Par exemple, une politique d’authentification plus stricte dans une organisation peut provoquer une résistance poussant certains employés à écrire leurs mots de passe sur des post-it, même si la politique de sécurité interdit de telles actions.
Dans les environnements organisationnels, les utilisateurs ne sont généralement pas soumis à de nombreuses mesures de contrôle de leur utilisation informatique. Par conséquent, les sanctions dissuasives ne peuvent influer « directement » sur leur comportement en matière de conformité aux politiques de sécurité.
Dans les situations où le contrôle de toutes les actions de toutes les personnes peut ne pas être réalisable, les normes sociales peuvent avoir une influence plus forte sur le comportement des personnes que les effets dissuasifs punitifs. Les normes subjectives et descriptives influencent le comportement individuel et peuvent constituer un moyen plus efficace de réguler le comportement individuel, contrairement à l’application de mesures dissuasives.
Les normes subjectives font référence au comportement d’un individu qui est « en accord avec ce qu’il croit que les autres pensent qu’il doit faire ». Les normes descriptives font référence aux perceptions selon lesquelles les autres adoptent ou non le comportement en question. De plus, dans les situations comportant des dimensions éthiques, les normes morales, qui renvoient aux sentiments d’obligation ou de responsabilité morales qui incombent à un individu d’exercer ou de refuser d’exercer un comportement donné, constituent un facteur important de prédiction du comportement.
Cet article examine l’effet des normes sur la résistance des employés à se conformer aux politiques de sécurité des systèmes d’information. Les auteurs posent l’hypothèse que les normes morales et descriptives agissent comme des médiateurs entre les facteurs de punition et la résistance. Ainsi, ils ont examiné le rôle indirect de la sanction en tant que pratique de gestion pour réduire la résistance aux politiques de sécurité des systèmes d’information dans les organisations.
Les résultats ont montré que les facteurs de punition (sévérité de la punition et certitude de détection) exerçaient une influence indirecte sur la résistance à la sécurité des systèmes d’information par l’entremise de facteurs normatifs; à savoir les normes descriptives et morales. L’analyse des données a confirmé les relations entre la certitude de détection et les normes descriptives, et la certitude de détection et les normes morales.
Les normes morales étant ancrées dans des dimensions éthiques, elles sont davantage influencées par la certitude de la détection que par la sévérité de la peine. Les gens sont conscients de faire le bon choix et ils veulent aussi être perçus comme faisant ce qui est bien. Par conséquent, la certitude de la détection, plutôt que la sévérité de la peine, influence les normes morales.
Les résultats sur les effets de la sévérité de la punition et de la certitude de la punition sur les facteurs normatifs ont des implications importantes pour les organisations. En communiquant largement les politiques qui énoncent clairement les conséquences de la violation du comportement requis, les employés sauront ce que l’on attend d’eux et un grand nombre d’entre eux se conformeront aux politiques de sécurité des systèmes d’information.
Cite: Merhi, M. I and Ahluwalia, P. (2019). Examining the impact of deterrence factors and norms on resistance to T Information Systems Security. Computers in Human Behavior, 92, 37-46.
Source: https://www.sciencedirect.com/science/article/pii/S0747563218305211?via%3Dihub
