La cybersécurité quotidienne implique à la fois la sécurité technologique et humaine. La sécurité technologique se concentre sur le maintien de l’intégrité de la technologie, la garantie de l’utilisabilité de la sécurité technologique et le contrôle de l’accès. La sécurité humaine englobe les interactions entre les personnes grâce à la technologie.
Ce rapport est une revue de la littérature scientifique et grise dans le contexte de la cybersécurité quotidienne dans les organisations. Les auteurs ont identifié quatre ensembles de comportements qui influencent la façon dont les gens pratiquent la cybersécurité: le respect des politiques de sécurité, la coordination et la communication intergroupes; la gestion des courriels et les comportements face au hameçonnage; et la gestion des mots de passe. Cette revue vise à fournir un résumé de la littérature existante dans le domaine des sciences sociales, avec un accent particulier sur le contexte organisationnel.
Conformité aux politiques de sécurité
Les employés ne respectent pas les politiques de sécurité de l’information pour plusieurs raisons. La recherche s’appuie sur une combinaison de choix rationnels et de théories de prise de décision, de théorie de la dissuasion et d’autres principes de la criminologie et de la psychologie pour expliquer les comportements et les attitudes à l’égard de la conformité.
Améliorer la culture de sécurité d’une organisation pourrait bénéficier les programmes de gestion de la sécurité et du comportement des employés, ce qui devrait à son tour améliorer la conformité aux politiques de sécurité. Plusieurs aspects d’une culture de sécurité affectent les intentions et les motivations des employés tels que les communications au sein de l’organisation, le suivi efficace et l’engagement de la direction envers la culture de sécurité.
En ce qui concerne les sanctions et les récompenses, les études n’offrent aucun résultat concluant quant à leur efficacité. Ni la certitude des sanctions ni l’application des récompenses ne semblent avoir un impact significatif sur la conformité.
La relation avec les employés peut également entraîner un changement de comportement positif. Des études ont souligné que les attitudes, les croyances et les habitudes normatives des employés ont tous une influence sur l’intention des employés de se conformer à la politique de sécurité.
Coordination et communication intergroupes
En matière de coordination et communication intergroupes, le principal problème réside dans le fait que les responsables de la sécurité et les autres gestionnaires ou employés ont des points de vue différents concernant les pratiques de sécurité de l’information. Il a également été démontré que des compétences différentes entre ceux qui ont une expertise technologique et ceux qui n’en ont pas polarisent davantage les groupes.
Il est largement admis que les désaccords entre les groupes peuvent conduire à des tensions entre les groupes et peuvent favoriser de mauvaises relations de travail.
Ainsi, pour réduire les conflits intergroupes, les organisations peuvent mettre en œuvre des objectifs communs. Il s’agit d’un ensemble d’objectifs qui nécessitent la participation de tous les groupes pour atteindre ces objectifs. L’idée postule que, si les objectifs sont atteints, la relation entre les deux groupes devient plus harmonieuse. Le leadership intergroupe se rapporte également à cette idée, car il se réfère à l’idée de leadership à travers les frontières des groupes organisationnels.
Gestion des courriels et hameçonnage
Les études se sont concentrées sur plusieurs domaines de la gestion des courriels pour comprendre pourquoi certains employés pourraient être plus sensibles aux attaques d’hameçonnage. Les utilisateurs peuvent ne pas avoir les connaissances et les compétences nécessaires pour détecter les tentatives de d’hameçonnage.
En examinant des facteurs tels que les traits de personnalité, la sensibilisation des utilisateurs, l’éducation, la motivation et la perception du risque, les chercheurs ont pu former des théories sur le comportement des utilisateurs lorsqu’il s’agit de traiter, de rejeter ou d’être victime de tentatives de d’hameçonnage.
Les caractéristiques démographiques, en particulier le sexe et l’âge, sont l’un des domaines prioritaires. Les résultats sur le sexe montrent des résultats mitigés, tandis que les résultats sur l’âge montrent des différences de comportement avec l’âge. Ce manque de consensus suggère que des recherches supplémentaires dans ces domaines sont nécessaires.
La perception, l’efficacité, l’auto-efficacité, la gravité perçue des menaces et la sensibilité perçue d’une personne peuvent avoir un impact positif sur le comportement d’évitement des menaces.
En tant que telles, les méthodes de sensibilisation à la sécurité qui ciblent la motivation des utilisateurs peuvent améliorer le comportement d’évitement d’un utilisateur. En se motivant à se protéger contre les menaces, il a été démontré que fournir une sensibilisation basée des principes de ludification engage les utilisateurs et conduit à une amélioration du comportement de sécurité.
La recherche a montré que la sensibilisation aux menaces de d’hameçonnage n’est souvent pas suffisante pour changer le comportement des employés. Les gestionnaires doivent connaître et identifier précisément où orienter et concentrer ces efforts de sensibilisation.
Gestion du mot de passe
Généralement, les politiques de mot de passe sont un ensemble de règles établies pour améliorer la sécurité technologique en garantissant, ou du moins en encourageant les individus à utiliser ce qui est considéré comme des mots de passe forts. Ces politiques peuvent inclure une exigence pour les longueurs de mot de passe, des mots de passe avec une casse / des symboles mixtes, et l’obligation de changer régulièrement les mots de passe.
La littérature suggère que les utilisateurs ont des motivations différentes lorsqu’il s’agit de choisir un mot de passe sécurisé. Certains utilisateurs sont plus motivés par les problèmes de confidentialité que par la sécurité. Les utilisateurs, également motivés par la sécurité et la commodité simultanément, feront un compromis lors de la détermination d’un mot de passe. Ce compromis détermine souvent la qualité du mot de passe, ce qui signifie que les utilisateurs ne choisiront un mot de passe fort que s’ils sont prêts à sacrifier la commodité.
Ce rapport met en évidence plusieurs aspects de la cybersécurité dans une organisation et comment le comportement des employés joue un rôle essentiel. Cependant, comme la plupart des recherches donnent des résultats mitigés, les chercheurs doivent répéter ces études dans des environnements différents pour déterminer la validité et la fiabilité des méthodes existantes et fournir des résultats homogènes. De plus, cette future recherche devrait viser à utiliser les théories psychologiques, sociologiques et économiques pour aider, compléter ou créer de nouvelles interventions comportementales.
Pour citer le rapport: Ertan, A., Crossland, G., Heath, C., Denney, D. and Jensen, R. B. (2020). Everyday Cyber Security in Organisations. Literature Review. Royal Holloway University of London.