Le rôle des croyances humaines dans l’absorption des connaissances pour la cybersécurité

La forte croissance des incidents de sécurité informatique oblige les compagnies privées et les organisations gouvernementales à constamment s’améliorer et être au courant des nouvelles tactiques des pirates informatiques.  Pour ce faire, ces organisations doivent s’équiper autant en matériels et logiciels à la fine pointe de la technologie. Néanmoins, si les employés ne savent pas utiliser ou n’utilisent pas correctement ces technologies, leur utilité est rendue nulle. C’est pourquoi les connaissances en cybersécurité sont tout autant, sinon plus, importantes que n’importe quel outil ou logiciel. Cependant, cet apprentissage de connaissances semble être fortement influencé par les croyances de l’individu qui les acquit. En d’autres mots, les croyances que possède un humain vont influencer la prise de conscience des connaissances qui lui sont transmises et vont ainsi influencer la mise en action de celles-ci.  Pour de nombreuses raisons, l’individu qui reçoit des informations peut décider de les classer comme non pertinentes, que ce soit parce qu’elles sont trop complexes, demandent trop de temps ou si cela lui est mal expliqué.

Dans cette étude, les chercheurs Percia, Keupp et Mermoud (2020) tente de comprendre l’impact qu’ont les croyances humaines sur l’absorption des connaissances spécialisées pour assurer une protection en cybersécurité efficace. Ils fondent leur étude sur la connaissance et sur l’économie des coûts de transaction. Brièvement, ce principe veut qu’un individu va décider d’absorber les informations qui lui sont transmises s’il juge que ces informations vont être profitable ou que les coûts, en efforts ou en temps, ne sont pas plus élevés que les bénéfices.

Les chercheurs tentent ainsi d’affirmer ou réfuter quatre hypothèses toutes reliées aux croyances sur l’absorption de connaissances.

1)      La croyance de ressources : implique que l’individu croit que l’information qui lui est transmise va lui être utile et ainsi que devenir une source de références pour le futur.

2)      La croyance de l’utilité : implique que l’individu perçoit que l’information transmise est réellement utile et que celle-ci en vaut la peine d’y concentrer du temps et de l’énergie.

3)      La croyance de récompense : implique que l’individu va accorder de l’importance à une information qui lui est transmise s’il estime obtenir une récompense en échange.

4)      La croyance de réciprocité : implique que l’individu peut absorber des connaissances que par un échange social dans la mesure ou l’individu peut rendre la pareille lorsqu’il reçoit des informations d’autrui.

Pour ce faire, ils ont analysé les données de 262 membres d’un groupe fermé d’utilisateurs MELANI-net, un centre national de partage et d’analyse d’information nommé ISAC situé en Suisse.

Figure 1: Modèle d’absorption des connaissances

Les résultats de l’étude mentionnent que la croyance aux ressources, la croyance à l’utilité et la croyance à la réciprocité sont positivement associées à l’absorption des connaissances. Cependant, la croyance aux récompenses n’est pas associée significativement à l’absorption.

Ces résultats permettent d’illustrer l’importance de prendre en considération l’absorption des connaissances pour assurer une sécurité informatique. La prise de connaissance des facteurs et des hypothèses mentionnés précédemment permet aux formateurs en cybersécurité de s’assurer de transmettre de l’information à un auditoire réellement prêt à acquérir des connaissances en jouant sur la pertinence, la réciprocité et les ressources qui en ressortent. Cette étude permet aussi de combler certaines limites des études antérieures sur les connaissances en matière de cybersécurité qui n’ont pu combler.

Pour citer l’article: Percia, D., Keupp, M. & Mermoud, A. (2020). Knowledge absorption for cyber-security: The role of human beliefs. Computers in Human Behavior, 106