L’augmentation des crimes informatiques, et les impacts sur la vie des victimes et des compagnies sont considérables. Dans bien des cas, les cybercrimes résultent d’une mauvaise décision prise par l’utilisateur. Schneier (2000) décrit même les utilisateurs comme étant le maillon le plus faible dans la chaîne de la cyber sécurité. Bien que la population générale semble informée des risques en naviguant sur l’Internet, leurs comportements laissent croire le contraire dû aux nombres grandissants de crimes informatiques. Ce phénomène nommé « paradoxe de la vie privée (“privacy paradox” en anglais) » illustre l’écart entre les problèmes de sécurité des individus. En effet, malgré leurs connaissances des risques, les individus vont rarement protéger leurs données, par exemple en supprimant les « cookies » ou en utilisant une boîte de messagerie cryptée.
Afin de se prémunir de ce type de crime, il faut prendre en considération l’implication des usagers dans la finalité de ces tentatives de crimes envoyés par des délinquants. Malheureusement, pour qu’un cybercrime soit complété, il faut qu’une vulnérabilité ait été exploitée avec succès, que ce soit un ordinateur ou un humain. Les études, à ce jour, se sont surtout concentrées sur les comportements dits actifs (par exemple : par exemple, ouvrir un fichier avec une pièce jointe d’une provenance douteuse) car ces comportements impliquent le plus de risques encourus. De l’autre côté, les risques passifs sont davantage des comportements d’inaction, s’illustrant par le fait de renoncer à une occasion d’agir ou de réagir afin de réduire la variance des résultats (Keinan et Bereby-Meyer, 2012). Par exemple, un comportement passif pourrait être de ne pas fortifier notre mot de passe en ajoutant des caractères spéciaux ou des chiffres.
Malgré la tendance affirmant que les risques actifs sont des facteurs importants dans la prédiction de comportement de sécurité sur internet, les chercheurs Arend, I., Shabtai, A., Idan, T., et coll. (2020) ont voulu analyser si les risques passifs ont aussi une influence sur les comportements de cybersécurité. Afin de répondre à leur questionnement, ils ont réalisé trois études pour établir un portrait global de la situation. Chacune d’entre elles utilise l’approche d’auto-évaluation afin d’étudier les risques actifs et passifs dans le domaine de la cybersécurité. Plus particulièrement, la première consiste à examiner si les risques passifs prédisent les intentions de comportement de cybersécurité, tout en contrôlant des variables démographiques et l’expérience passée des individus avec les cybercrimes. La deuxième étude consistait à démêler le rôle de la prise de risques actifs et passifs dans la prédiction des intentions de cybersécurité. La dernière étude visait à mesurer les comportements à risque passif en lien avec la cybersécurité.
Les différentes études ont permis de conclure principalement que le risque passif est un meilleur prédicteur des intentions et comportements de cybersécurité, contrairement au risque actif. D’autant plus, les auteurs démontrent que la mesure d’auto-évaluation du comportement à risque passif, mais pas actif, est un prédicteur unique des intentions de comportement en matière de cybersécurité. Enfin, les auteurs révèlent que les mesures autorapportées des risques passifs, mais pas actifs, sont significativement corrélées avec deux types de comportements spécifiques : lire les petits caractères et renforcer son mot de passe.
Malgré tout, cette étude n’est pas exempte de limite. En effet, ces trois études n’ont pas considéré la charge de travail, la pression de performance, ni le manque de temps que les individus peuvent vivre au moment où ils reçoivent, par exemple, un courriel avec une pièce jointe malicieuse. Il a été démontré que le contexte influence les décisions des individus dans leurs comportements sur l’internet, pouvant les mettre plus à risque (Acquisti, 2004).
En plus de son apport empirique, cette étude est pertinente pour tous les professionnels visant à mieux comprendre les comportements humains en cybersécurité.
Pour citer l’article: Arend, I., Shabtai, A., Idan, T., Keinan, R., et Bereby-Meyer, Y. (2020). Passive- and not active-risk tendencies predict cyber security behavior. Computers in Human Behavior, 97.