Les mesures technologiques n’empêchent pas systématiquement les organisations d’être victimes d’attaques informatiques et de violations de données. En effet, la cybersécurité n’est pas uniquement un fait technologie : presque toutes les cyberattaques fructueuses comportent un facteur humain. Les employés peuvent ainsi renforcer la cybersécurité en entreprise, car, dans l’ensemble, la technologie ne peut être la seule solution. Cependant, même si les employés peuvent constituer un atout essentiel dans la lutte contre les cyberincidents, ils représentent également le « maillon le plus faible ».
Le concept de sensibilisation à la sécurité de l’information (Information Security Awareness [ISA]) comprend deux composantes essentielles. La première relève du niveau de compréhension de l’individu des politiques de sécurité de l’information de l’organisation (connaissance des politiques et des protocoles de sécurité en la matière). La seconde est la mesure avec laquelle l’individu souscrit aux principes fondamentaux de la sécurité de l’information au sein de son organisation, et l’adoption de comportements respectant les « meilleures pratiques » dans un tel contexte. Ce deuxième aspect constitue un moyen intéressant d’explorer les différences individuelles selon le degré d’engagement d’une personne envers son lieu de travail.
La présente étude vise à explorer les différences individuelles des facteurs humains dans le contexte de la sensibilisation à la sécurité de l’information. Le premier objectif était de déterminer si le lieu de maîtrise du travail d’une personne pouvait prédire le niveau d’engagement en sécurité de l’information. Le deuxième objectif était d’examiner si la construction de l’identité professionnelle pouvait également servir à prédire l’adhésion d’un individu aux politiques de sécurité de l’information au travail.
Les auteurs suggèrent que, si une personne a un faible engagement vis-à-vis de son lieu de travail et de son organisation, ou si elle estime avoir un contrôle limité sur son travail, elle sera moins susceptible d’agir de manière sécuritaire avec les données. Par conséquent, les auteurs ont utilisé le concept de « lieu de maîtrise » (locus of control), qui a servi à déterminer dans quelle mesure une personne perçoit le contrôle qu’elle exerce sur les rôles et les activités sur le lieu de travail. Le lieu de maîtrise se rapporte à la tendance que les individus ont à considérer que les événements qui les touchent sont le résultat de leurs actions (internalisé) ou, au contraire, qu’ils sont le fait de facteurs externes sur lesquels ils n’ont que peu d’influence (externalité). L’étude s’attarde également au rôle de l’identité au travail d’un individu et à ses effets sur la sécurité de l’information. L’identité professionnelle mesure la force de l’identification d’une personne à son travail, et non directement à son lieu de travail ou à son organisation.
Quelque 1000 participants âgés de 18 à 65 ans se sont prêtés à une étude en ligne du 3 au 8 mars 2018. Parmi eux, 76 % travaillaient à plein temps et 24 % à temps partiel. Les participants devaient être en emploi, avoir au moins 18 ans, consacrer au moins 20 % de leur journée de travail normale à l’utilisation de technologies informatiques et travailler pour une organisation disposant de règles formelles ou informelles régissant la sécurité de l’information.
Les résultats ont montré que seul le lieu de contrôle du travail était considéré comme un indicateur clé des pratiques de sécurité de l’information pouvant compromettre la cybersécurité en entreprise. Les personnes classées comme étant plus externes, ayant un contrôle perçu limité de leur environnement de travail, étaient plus susceptibles d’avoir une sensibilisation plus faible en ce qui a trait à la sécurité de l’information.
Il est essentiel de mieux comprendre pourquoi les employés ne respectent pas les principes liés à la sécurité de l’information sur le lieu de travail pour mettre au point des interventions susceptibles d’améliorer la perception des employés en matière de contrôle sur le lieu de travail, ce qui pourrait également renforcer leur compréhension de la sécurité de l’information en les incitant à en assurer une plus grande maîtrise.
Cite: Hadlington, L., Popovac, M. Janicke, H., Yevseyeva, I. and Jones, K. (2019). Exploring the role of work identity and work locus of control in information security awareness. Computers and Security, 81, 41-48.
Source: https://www.sciencedirect.com/science/article/pii/S0167404818308897?via%3Dihub
