Les problèmes reliés à la cybersécurité sont très nombreux et demandent aux équipes de cybersécurité de constamment s’éduquer et s’adapter aux nouvelles problématiques. Même si les équipes de cybersécurité et les experts peaufinent et aiguisent leurs connaissances en utilisant des logiciels à la fine pointe de la technologie, certains facteurs restent hors de leur contrôle. Les comportements humains ont des impacts directs et importants sur la réussite ou l’échec d’une attaque informatique.
Les intrusions dans un système de technologie d’information (TI), d’un particulier ou d’une entreprise, sont fortement influencées par l’attitude et les comportements que posent les individus. Les études récentes sur le sujet ont établi une théorie appliquée aux comportements risqués, nommé la théorie de la prévention des menaces technologiques (« Technology Threat Avoidance Theory (TTAT) » en anglais) (Liang et Xue, 2009). Dans le tableau suivant, il est possible d’observer une liste des facteurs de la TTAT et pouvant possiblement être reliés aux comportements risqués des humains lorsqu’ils font face à des scénarios pouvant compromettre la sécurité de leur système informatique.
Facteurs | Description |
---|---|
Susceptibilité perçue | La probabilité de subir les effets négatifs d’une cyber-menace |
Sévérité perçue | L’ampleur des impacts négatifs induits par une brèche réussie |
Efficacité perçue | L’ampleur selon laquelle une mesure de protection est considérée comme généralement efficace |
Coûts perçus | Le niveau d’effort ou le coût financier associé à l’incorporation d’une mesure de protection |
Auto-efficacité | La mesure dans laquelle un individu se considère capable d’incorporer une mesure de protection |
Cette étude exploratoire réalisée par les chercheurs Gillam et Forster (2020) examine comment un comportement à risque, dans un contexte de cybersécurité, peut être prédit par des comportements d’évitement.
Pour ce faire, ils ont analysé les résultats de 184 questionnaires remplis volontairement par des travailleurs qui ont obligatoirement travaillé par le passé avec les TI dans le cadre de leurs fonctions (N = 184). Le questionnaire comportait des questions concernant les comportements à risque en termes de cybersécurité. De plus, des traits psychologiques reliés à des comportements risqués, comme l’évaluation de la menace, incluant la susceptibilité et la gravité perçue sont mis en relation avec des mécanismes d’adaptation issu de la psychologie.
Parmi les nombreux résultats intéressants de l’étude, voici les principales conclusions:
– La variable qui s’est le plus démarquée est celle des impacts perçus sur les coûts.
– La sensibilité perçue et l’auto-efficacité étaient aussi fortement reliées aux comportements à risque. Un individu plus sensibilisé aux problématiques que les comportements risqués peuvent causer à l’organisarion est davantage amené à faire plus attention, de même que pour les employés ayant un fort sentiment d’auto-efficacité.
– La notion de facilité et de difficulté est aussi à considérer. Plus un employé perçoit la tâche sécuritaire comme étant complexe, moins il est à risque de l’effectuer.
En plus de son apport empirique, cette étude démontre l’impact que les comportements humains risqués ont sur la cybersécurité. L’étude est pertinente autant pour les chercheurs que les individus travaillant à la prévention des cyberattaques.
Pour citer l’article: Gillam, A.R. & Foster, T. (2020). Factors affecting risky cybersecurity behaviors by U.S workers: An exploratory study. Computers in Human Behavior, 108.