De nombreuses études démontrent l’impact important des comportements humains sur la cybersécurité d’une entreprise ou d’une organisation. L’aspect humain derrière la protection des failles de sécurité ne peut être négligé. Les humains agissent bien souvent comme un pare-feu sur la première ligne de défense du réseau informatique que les experts en cybersécurité tentent de protéger et que les pirates informatiques essaient de détruire. C’est pourquoi plusieurs formations et instructions sont dirigées spécifiquement vers les employés des organisations afin de les sensibiliser envers les bons comportements à commettre. Bien que l’objectif soit d’augmenter la visibilité de certains comportements douteux et d’amener les employés à se conformer face aux directives transmises, l’augmentation de failles de sécurité causées par les humains semble démontrer des lacunes importantes.
Les chercheurs House et Giordano (2020) se sont donc concentrés sur les éléments humains reliés aux communications de sécurité et ont analysé l’intention des utilisateurs de se conformer ou pas aux directives. Précisément, l’étude en question explore les effets de la politesse et de l’impolitesse sur l’intention de se conformer face aux directives de sécurité.
Pour ce faire, l’étude a réalisé une expérience axée sur les directives de configuration d’un navigateur sécurisé en utilisant différentes manières de communiquer l’information aux participants sur l’internet. Les participants (N=224) ont été affectés aux différentes communications de manière aléatoire, certains recevaient des communications/directives à l’écrit, via des images ou des vidéos explicatifs. Considérant l’objectif de la recherche, les communications/directives étaient aussi divisées entre polies et impolies afin de mesurer l’effet. Différentes variables ont été mises en relation avec les résultats des questionnaires remplis par les participants : 1) la perception de la richesse médiatique dans le message 2) perception de la charge mentale 3) l’intention de suivre les directives de sécurité 4) la crédibilité.
Brièvement, voici les résultats issus des analyses réalisées :
Les résultats qui ressortent du modèle global indiquent que la richesse médiatique perçue avait une influence négative sur la charge de travail mentale perçue. La charge de travail mentale de son côté semble entraîner une diminution de l’intention de se conformer aux directives de sécurité. À la grande surprise, il n’y avait pas de différentes significatives entre les groupes ayant reçu des scénarios de directives/communications textes et de textes/images polis et impolis. Cependant, pour les groupes ayant reçu des vidéos, il y avait une différence importante entre les groupes polis et impolis dans la relation entre la richesse médiatique perçue et l’intention de se conformer aux directives de sécurité. D’autant plus, les communications les plus riches semblent augmenter la perception de la quantité d’informations transmises qui semblent avoir un impact important sur la compréhension et la conformité.
Il est important de prendre note que l’étude comporte des limites. Premièrement, l’étude a été réalisée au sein d’étudiants universitaires âgés entre 18 et 24 ans. De plus, les auteurs précisent qu’il est possible que les participants n’aient pas autant remarqué la différence entre les directives polies/impolies dans les textes et les images comparativement dans les vidéos où la différence était plus notable.
En conclusion, cette recherche a un apport pratique et empirique considérable. Les chercheurs permettent d’augmenter les connaissances sur l’impact de la politesse et de l’impolitesse sur l’intention de suivre les directives de cybersécurité.
Pour citer: House, D. et Giordano, G. (2020). Politeness in security directives: Insights in browser compliance for the human element. Computers & Security. https://doi.org/10.1016/j.cose.2020.102007