Ne vous laissez pas abattre par la fatigue de la cybersécurité!
Nicolas St-Germain|Publié le 02 mai 2022«Les gens se disent que c’est compliqué et qu’en plus les attaquants réussissent toujours à mener des attaques. Ils en viennent donc à se dire qu'ils ne peuvent rien y faire.» (Photo: 123RF)
LA TECHNO PORTE CONSEIL est une rubrique qui vous fait découvrir des plateformes, de nouveaux outils ou de nouvelles fonctionnalités pouvant être implantés facilement et rapidement dans votre quotidien au travail, en plus de démystifier les tendances technos du moment.
LA TECHNO PORTE CONSEIL. Je décrivais la semaine dernière les gestionnaires de mot de passe comme des outils simples pour protéger vos informations en ligne. Malgré leurs avantages, ils ont un faible taux d’adoption. Les Affaires tente de découvrir pourquoi les gens flirtent avec la négligence en matière de cybersécurité.
Un sentiment de «fatigue de la sécurité» semble s’opérer, croit Benoît Dupont, professeur à l’École de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité. «Ça fait des années qu’on répète aux gens de faire les mêmes choses, de manière très vague et très peu spécifique».
Cela fait en sorte que les gens se demandent si cela vaut vraiment la peine, précise le professeur, surtout que l’adoption de nouveaux outils, comme les gestionnaires de mots de passe, a un coût en temps, mais aussi en charge mentale. «Il faut les intégrer à tout ce qu’on fait.»
Trop c’est comme pas assez
La surabondance d’informations concernant les cyberattaques accentue cette fatigue. «Les gens ont l’impression qu’ils ne peuvent pas faire grand-chose individuellement parce qu’ils sont bombardés quotidiennement d’informations sur tous les risques, toutes les attaques et toutes les menaces», explique Benoît Dupont.
À son avis, cela peut avoir un effet psychologique d’impuissance apprise (learned helplessness en anglais). «Les gens se disent que c’est compliqué et qu’en plus les attaquants réussissent toujours à mener des attaques. Ils en viennent donc à se dire qu’ils ne peuvent rien y faire.»
Il y aurait aussi un aspect où les gens entendent parler de cybersécurité, mais ne se sentent pas nécessairement concernés par le problème, croit Sébastien Gambs, professeur au département d’informatique de l’Université du Québec à Montréal. «Ils se disent que ce n’est pas eux qui vont être touchés.»
À cela s’ajoute le fait qu’il n’y ait pas de grande campagne de prévention comme en santé publique, poursuit Benoît Dupont. «Cela n’aide pas les gens à identifier des applications qu’ils devraient utiliser.»
Communiquer le risque en entreprise
Si l’ajout de certaines pratiques en cybersécurité peut alourdir le flux de travail comme le fait l’authentification à double facteur, Benoît Dupont croit que cela cause un problème seulement si on n’explique pas correctement les raisons derrière l’ajout.
«Il faut expliquer comment les hackers accèdent aux courriels et aux systèmes, poursuit-il. [En faisant cela], même si d’utiliser ces solutions, ça rend les choses un peu moins rapides, cela les protège de manière assez simple contre des attaques qui peuvent être dévastatrices.»
Il convient donc de communiquer le risque pour éviter la résistance à l’adoption. «Il y a une gestion du changement qui doit être faite pour expliquer les bénéfices relatifs, mais aussi absolus», détaille Benoît Dupont.
Les entreprises doivent donc répondre à l’affirmation suivante: quels sont les risques protégés par le nouvel outil et avec quel niveau d’efficacité.
Pour ne pas manquer ce rendez-vous, recevez les «La techno porte conseil» dans votre boîte de courriels !