La réussite et la pertinence des programmes de gestion et/ou de prévention de la cybersécurité dépendent principalement de l’amélioration des comportements de sécurité des employés au sein d’une organisation. En effet, plusieurs programmes existent afin de former les employés et les outiller à bien intervenir en situation de compromission de la cybersécurité de leurs organisations et les bonnes pratiques à utiliser quotidiennement.
Précisément, il existe les programmes d’éducation, de formation et de sensibilisation à la sécurité (SETA « security education, training, and awareness » en anglais) qui ont pour objectif principal d’inviter les employés à adopter des changements positifs en termes de comportement de cybersécurité.
Cependant, les chercheurs Alshaikh, Maynard, & Ahmad (2020) croient que les programmes SETA actuels ne sont pas idéaux, car ils ne visent qu’à améliorer l’acquisition des connaissances des employés, au lieu de viser les changements de comportements et les croyances des employés face aux problématiques de cybersécurité.
Dans l’objectif d’apporter des solutions à ces lacunes importantes, les chercheurs ont appliqué les principes du marketing social afin d’examiner les pratiques SETA dans six organisations. Les principes de marketing étant : 1) Orientation client 2) Focus sur le comportement 3) Ancré dans la théorie 4) Développement « Insight » 5) Échange 6) Concurrence 7) Segmentation de l’audience 8) Mélange de méthodes.
Pour répondre aux questions de recherche, les chercheurs ont appliqué une méthodologie qualitative avec des entrevues semi-dirigées. Précisément, six entrevues ont été réalisées auprès d’experts des programmes SETA provenant tous d’organisations différentes
Lors de l’analyse des verbatims, les chercheurs se sont vraiment concentrés sur les pratiques reliés aux programmes SETA dans les différentes organisations en regroupant les informations recueillis par thématique. Ensuite, ils ont appliqué les différents principes de marketing pour obtenir le résultat suivant : les programmes SETA échouent à inclurent les principes clés en marketing. Ces concepts clés sont essentiels pour adopter des changements de comportements positifs et efficaces en matière de cybersécurité.
Cependant, les chercheurs apportent des solutions en utilisant les principes de marketing en question pour venir compléter les programmes SETA existants (Tableau 1).
Tableau 1 : Une cartographie des principes clés du marketing social et des lacunes des approches SETA actuelles.
Principes de marketing | Résultats |
Orientation client | Les programmes SETA existants visent à satisfaire aux exigences de conformité. Les motivations derrière le comportement des employés ne sont pas étudiées |
Comportement et objectifs comportementaux | Les objectifs sont généralement limités à l’acquisition de connaissances et ne traitent pas de croyances plus profondes et d’objectifs de base. Le comportement des publics cibles n’est pas analysé. |
Ancré dans la théorie | La sélection des stratégies d’intervention dans les programmes SETA n’est pas appuyée par la théorie |
Développement Insight | L’évaluation des besoins traditionnelle dans les programmes SETA actuels est limité et ne permet pas une compréhension profonde des barrières physiques ou émotionnelle au changement de comportement des employés |
Échange | Les programmes SETA actuels ne font pas d’offre convaincante pour persuader les employés de changer de comportement |
Concurrence | Les facteurs concurrents externes et internes ne sont généralement pas pris en compte |
Segmentation de l’audience | Les programmes SETA actuels fournissent principalement des formations assistées par ordinateur à tous les employés sans porter attention aux besoins spécifiques des différents segments d’employés |
Mélange des méthodes | Les programmes SETA se concentrent sur la sensibilisation è travers de multiples canaux plutôt que d’implémenter des stratégies d’intervention mixtes |
Cette étude est pertinente autant pour les chercheurs que pour les responsables des formations en cybersécurité dans les organisations. Les chercheurs mettent en lumière des lacunes importantes des programmes SETA utilisés en cybersécurité et fournissent des solutions pour contrer le problème et ainsi s’assurer que les employés des diverses organisations reçoivent la formation et les outils adéquats.
Pour citer l’article: Alshaikh, M., Maynard, B. & Ahmad, A. (2020). Applying social marketing to evaluate current security education training and awareness programs in organisations. Computers & Security, 100.