Les organisations sont continuellement exposées à diverses menaces en ligne qui mettent leurs informations et leurs systèmes en danger. Les risques sont d’autant plus importants qu’elles font face à des menaces plus avancées et persistantes, ainsi qu’à des menaces internes. Il s’agit là d’employés qui introduisent des menaces pour au sein de l’organisation et qui ne respectent pas les politiques de sécurité.
Selon l’Enquête canadienne sur la cybersécurité et la cybercriminalité réalisée en 2017, 21 % des entreprises canadiennes ont déclaré avoir été touchées par un incident de cybersécurité visant leurs opérations. Les entreprises victimes d’un cyberincident ont signalé des incidents d’hameçonnage et de logiciels malveillants. En 2015, le Ponemon Institute a indiqué que 25 % des violations étaient imputables aux comportements non sécuritaires des employés. En 2017, le Department for Digital, Culture, Media & Sport du Royaume-Uni a constaté que 72 % des infractions étaient imputables au personnel recevant et agissant via des courriels d’hameçonnage. Ces chiffres démontrent l’importance de bien comprendre et de réduire la menace résultant de comportements peu sécuritaires d’employés.
Puisque les employés n’adoptent pas toujours des comportements permettant de prévenir l’introduction de maliciels au sein de l’organisation, cette étude se concentre sur les approches permettant de mieux comprendre les agissements peu sécuritaires. Les auteurs ont examiné les trois comportements suivants : le fait d’utiliser un logiciel anti-maliciels pour balayer des clés USB (« logiciel anti-maliciels »), d’éviter les liens présents dans les courriels suspects (« sécurité du courriel ») et d’installer des mises à jour logicielles, lorsqu’invité à la faire (« mises à jour de logiciels »).
Ces trois comportements ont été choisis, car ils sont importants pour prévenir l’introduction de maliciels et nécessitent différents niveaux de manipulation de la part de l’utilisateur. Ils peuvent également expliquer les variations potentielles des raisons pour lesquels les employés n’agissement pas de manière sécuritaire contre les logiciels malveillants.
Les auteurs ont analysé la relation entre les expériences antérieures des employés, leur évaluation de la menace et leur capacité à la gérer, de même que leur volonté à adopter ces trois comportements.
Les résultats de l’étude ont montré que :
- L’expérience antérieure dans la gestion de problèmes de sécurité au travail influe considérablement sur le comportement de sécurité vis-à-vis des courriels. Avoir fait l’expérience des conséquences négatives des problèmes de sécurité peut favoriser la prise de conscience et une meilleure détection d’hameçonnage par courriel.
- Les employés qui imputent des coûts aux comportements anti-maliciels (perte de productivité, de travail et de temps) ont moins tendance à les adopter.
- Les employés estiment que les trois comportements sont importants pour réduire les menaces liées aux maliciels. Parmi ceux-ci, le comportement de sécurité du courriel a été perçu comme étant le plus efficace pour prévenir les programmes malveillants, suivis du comportement face au logiciel anti-maliciels et celui ayant trait à la mise à jour du logiciel.
- Les convictions des employés quant à leurs capacités ne sont pas importantes pour l’installation de mises à jour logicielles. Cela indique que les perceptions vis-à-vis de leur capacité ne sont pas importantes pour tous les comportements de sécurité; l’installation de mises à jour étant perçue comme un comportement facile à effectuer.
L’utilisation de logiciels anti-maliciels et les comportements de sécurité de la messagerie électronique requièrent, par ailleurs, un degré de compétence élevé. L’utilisateur doit, d’une part, savoir comment accéder au logiciel anti-maliciels et l’exécuter, et d’autre part, avoir un comportement de sécurité l’obligeant à détecter les liens suspects présents dans les courriels.
- La responsabilité constitue un puissant prédicteur de la sécurité des logiciels anti-maliciels et des mises à jour. Les personnes qui ont perçu davantage de responsabilité personnelle en matière de sécurité ont été plus motivées à entreprendre des actions de type anti-maliciel.
Il est donc important d’inculquer aux utilisateurs un sens des responsabilités afin qu’ils puissent adopter de sains comportements. En outre, les coûts de réponse étant considérés comme un obstacle majeur au comportement, les entreprises doivent chercher à réduire le fardeau en temps et en productivité lié aux comportements anti-maliciels.
Citer: Blythe, J. M. & Coventry, L. (2018). Costly but effective: Comparing the factors that influence employee anti- T malware behaviours. Computers in Human Behavior, 87, 87-97.