Cybersécurité : le Nist identifie le risque de lassitude sécuritaire

Selon une étude du National Institute of Standards and Technology (Nist), la lassitude sécuritaire pourrait pousser les utilisateurs à se sentir impuissants et à adopter des cybercomportements à risque, dans l'univers professionnel ou personnel : certains consommateurs estiment ne pas être compétents pour organiser leur e-sécurité. Présentation.

Le Nist sait être facétieux : « Après une énième mise à jour de votre mot de passe, vous êtes-vous déjà résolu à en choisir un que vous aviez utilisé auparavant, pour être sûr de vous en souvenir ? », interroge-t-il. Avez-vous déjà renoncé à un achat en ligne juste parce que vous n'aviez pas très envie de créer un nouveau compte ? Si vous vous êtes reconnu dans l'une de ces situations, il se pourrait que vous soyez victime de « lassitude sécuritaire ». Schématiquement, ce sentiment pousse les internautes à prendre des risques. Le Nist a observé que la majorité des internautes lambda interrogés avaient déjà ressenti cette lassitude sécuritaire, qui suscite généralement des comportements informatiques à risque, au travail aussi bien que dans la vie privée. L'étude définit la lassitude sécuritaire comme « un découragement ou une réticence à se préoccuper de la sécurité informatique ». L'une des personnes interrogées a d'ailleurs déclaré à propos de sécurité informatique : « Je ne m'en soucie plus... Les gens en ont assez qu'on leur répète sans cesse "faites attention à ceci, faites attention à cela." » « Le constat selon lequel le grand public souffre de lassitude sécuritaire est important, car cela a des répercussions dans le milieu professionnel et dans la vie quotidienne des personnes, analyse Brian Stanton, psychologue cognitif, coauteur de l'étude. C'est une découverte essentielle, dans la mesure où de nombreuses personnes ont recours aux banques en ligne et où les services de santé ainsi que d'autres sources de précieuses informations tendent à migrer sur Internet. Si les gens ne sont pas en mesure d'appliquer la sécurité, ils ne vont donc pas le faire, et alors notre pays ne sera pas sécurisé. »

Amplification de la cybersécurité

L'étude, parue dans IT Professional à l'Institut des ingénieurs électriciens et électroniciens (IEEE), repose sur des données issues d'une enquête qualitative menée sur des utilisateurs et analysant leurs opinions et perception de la cybersécurité et de la confidentialité en ligne. Les personnes interrogées ont entre 20 ans et plus de 60 ans, habitent des zones urbaines, périurbaines ou rurales et représentent une forte diversité de catégories socioprofessionnelles. Les entretiens sur leur utilisation professionnelle et personnelle de l'informatique (activités en ligne) ont notamment abordé la question des achats, des services bancaires, de la sécurité informatique, de la terminologie de la sécurité, des icônes et outils liés à la sécurité. Selon Mary Theofanos, informaticienne et coauteure de l'étude, « nos entretiens ne visaient même pas à mettre en évidence cette lassitude, mais toutes les données laissaient transparaître ce sentiment écrasant de découragement. Il y a quelques années, vous n'aviez qu'un seul mot de passe à retenir dans le cadre de votre activité professionnelle. Maintenant, l'on demande d'en mémoriser entre 25 et 30. L'amplification de la cybersécurité et ses conséquences sur les gens n'ont pas vraiment/ait l'objet de grandes réflexions ». L'équipe a observé que la majorité des utilisateurs « moyens » interrogés se sentaient accablés et harcelés, et en avaient assez de devoir constamment rester sur leurs gardes, se tenir à un comportement sûr et essayer de comprendre les subtilités de la sécurité en ligne. « Lorsqu'on leur demande de prendre davantage de décisions en matière de sécurité informatique qu'ils ne peuvent en supporter, ils éprouvent une lassitude de la décision, qui conduit à la lassitude sécuritaire », indique le Nist. Cette lassitude conduit à alimenter des sentiments de résignation et de perte de contrôle. Ces réactions peuvent elles-mêmes créer une tendance à éviter les prises de décision, à opter pour les solutions les plus simples, à être influencé dans ses décisions par des motivations immédiates, à se comporter impulsivement et à ne pas suivre les règles de sécurité. De plus, les participants ne comprennent pas pourquoi l'on voudrait les prendre pour cible d'une Cyberattaque. Les personnes interrogées sont nombreuses à ne pas se sentir suffisamment importantes pour que quiconque puisse vouloir voler leurs informations. Ils ne connaissaient personne qui ait déjà subi un piratage. Certains ont aussi exprimé le sentiment que la protection de leurs données incombait à quelqu'un d'autre, laissant la sécurité informatique à la charge de leur banque, de leurs e-commerçants ou de quelqu'un doté de davantage d'expérience. Ils se demandent aussi comment ils pourraient, à leur échelle, protéger efficacement leurs données, alors que de grandes organisations sont souvent victimes de Cyberattaques.

Lignes directrices

Trois lignes directrices permettraient de soulager la lassitude sécuritaire et d'aider les utilisateurs à conserver un comportement et des habitudes sûrs en ligne :

  • limiter le nombre de décisions de sécurité que les utilisateurs doivent prendre ;
  • faire en sorte qu'il soit simple pour les utilisateurs d'agir correctement pour leur sécurité ;
  • concevoir des environnements favorisant des prises de décision cohérentes chaque fois que cela est possible.

Pour aller plus avant, les chercheurs doivent interroger d'autres utilisateurs présentant divers niveaux de responsabilité : professionnels de la cybersécurité ; employés d'une profession ayant la responsabilité de protéger les informations personnelles identifiables dans les services de santé, la finance et l'éducation ; salariés qui utilisent l'informatique, mais pour qui la sécurité n'est pas la responsabilité première. Le Nist indique que pour résoudre les défis de sécurité informatique liés à ce type de comportement, des équipes multidisciplinaires associant experts de la sécurité informatique, psychologues, sociologues, voire anthropologues sont nécessaires.

 

 

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !