Les utilisateurs considèrent souvent les politiques de sécurité informatique comme un obstacle. L’ingénierie politique empathique aide les RSSI à promouvoir l’acceptation et à mettre en œuvre la sécurité de manière efficace.
Dans de nombreuses entreprises, les directives en matière de sécurité informatique rencontrent des résistances parce que les employés les perçoivent comme obstructives ou peu pratiques. Cela rend la mise en œuvre difficile, nuit à l’efficacité et met à rude épreuve la collaboration entre le service de sécurité et les unités commerciales.
En conséquence, au lieu d’être considérée comme un partenaire, la cybersécurité est souvent perçue comme un obstacle, un risque de sécurité fatal. Pour les RSSI, cela signifie qu’outre des directives techniquement solides, l’acceptation dans le travail quotidien est cruciale. Une nouvelle approche basée sur une ingénierie politique empathique et une communication stratégique en matière de sécurité peut contribuer à favoriser une culture de sécurité durable.
Sécurité informatique : pression au travail et influences sociales
De nombreux services informatiques estiment que les utilisateurs sont peu motivés à se conformer aux directives de sécurité. Les entreprises s’appuient sur des sanctions et des formations de sensibilisation à la sécurité pour faire respecter la conformité. Cependant, une expérience de deux jours portant sur l’impact des conceptions de sécurité sur le comportement des utilisateurs conformes aux politiques a révélé que même si les participants avaient initialement une attitude positive à l’égard des directives de sécurité, ces directives étaient de plus en plus perçues comme un obstacle sous la pression croissante du travail, conduisant à des violations plus fréquentes. Le stress et les facteurs situationnels ont eu une influence notable sur le comportement des participants en matière de sécurité.
Un comportement sûr ne découle donc pas uniquement du transfert de connaissances, mais dépend fortement de l’évaluation individuelle des risques et de situations concrètes de la vie quotidienne. Les utilisateurs n’agissent pas toujours comme le prescrivent les lignes directrices – souvent pas par réticence, mais parce que d’autres facteurs l’emportent ou sont considérés comme plus importants. Les objectifs ambitieux, les contraintes de temps et la nécessité d’une collaboration transparente entrent souvent en conflit avec des exigences de sécurité abstraites. Ces conflits d’intérêts entraînent rapidement des tensions entre la sécurité, l’informatique et les autres services. Cela finit par mettre en péril la culture de sécurité.
Les responsables de la sécurité peuvent contrecarrer ce phénomène en abordant trois points.
1. Effectuer une analyse des parties prenantes
Les RSSI doivent d’abord se demander pourquoi les utilisateurs ne se comportent pas de manière sécurisée. Différents facteurs jouent ici un rôle : par exemple, les utilisateurs peuvent ne pas être conscients de la menace, ne pas voir les avantages d’un comportement sécurisé ou percevoir les mesures de sécurité comme entravant leur travail. Il peut également y avoir un conflit d’intérêts avec les objectifs des utilisateurs, ou ils peuvent être pressés par le temps. Souvent, les ressources font tout simplement défaut – par exemple, si la réglementation exige un échange de données sécurisé avec les fournisseurs et les clients, mais que les employés ne disposent pas d’une plate-forme pour un tel échange de données – ou il peut y avoir un manque de modèles dans l’environnement.
Avant de mettre en œuvre des mesures de sécurité, il est important d’identifier et d’équilibrer les objectifs et priorités contradictoires entre les différents groupes de parties prenantes (service informatique, services techniques, direction, administration, personnel de production). Cela peut être fait, par exemple, grâce à l’analyse des parties prenantes – une méthode issue de l’informatique commerciale utilisée pour vérifier les préférences de toutes les parties prenantes impliquées. Plus les responsables de la sécurité connaissent les réalités du travail et les objectifs des différents départements, mieux ils peuvent adapter les mesures de sécurité en conséquence, ce qui conduit à une plus grande acceptation et, en fin de compte, à une mise en œuvre réussie.
2. Concevoir des directives de sécurité en pensant à l’utilisateur
Les comportements non sécurisés sont souvent imputés aux utilisateurs, alors que le problème réside souvent dans la mesure elle-même. Dans les recherches sur la sécurité informatique, l’accent est souvent mis sur le comportement individuel des utilisateurs, par exemple sur la question de savoir si le comportement sécurisé dépend des traits de personnalité. La question de savoir dans quelle mesure les mesures de sécurité s’adaptent réellement à la réalité du travail – c’est-à-dire quelle est la probabilité qu’elles soient acceptées dans la pratique quotidienne – est négligée.
Pour chaque menace, plusieurs mesures de sécurité sont généralement disponibles. Mais les différences en termes d’effort, d’acceptation, de compatibilité ou de complexité ne sont souvent pas prises en compte dans la pratique. Au lieu de cela, les services de sécurité ou informatiques prennent souvent des décisions basées uniquement sur des aspects techniques.
Pour établir des politiques de sécurité informatique efficaces, elles doivent non seulement être techniquement correctes, mais elles doivent également être sensées et pratiques du point de vue des employés. La clé réside dans une ingénierie politique empathique : les directives de sécurité doivent être conçues de manière à être compréhensibles, acceptées et compatibles avec les objectifs de travail quotidiens. Ceci est mieux réalisé lorsque les employés sont impliqués dès le début dans le processus de développement, y compris leurs objectifs contradictoires et leurs défis pratiques.
Un projet pilote ultérieur permet d’identifier très tôt les pierres d’achoppement et les obstacles potentiels et d’adapter les mesures en conséquence. Il s’est avéré efficace de commencer par les « early adopters », c’est-à-dire le groupe d’utilisateurs qui sont ouverts aux innovations et peuvent ensuite fournir des commentaires constructifs. Ceci doit être pris en compte avant le déploiement à grande échelle. De cette manière, une culture de sécurité efficace et réellement mise en pratique dans le travail quotidien peut se développer.
3. Communiquez avec respect
Les mesures et directives de sécurité sont souvent communiquées d’une manière qui ne correspond pas à la réalité professionnelle des utilisateurs, car elles ne visent pas à impliquer les employés et à les motiver : par exemple, à travers des instructions, des formations en ligne standards ou des formats trop ludiques comme des bandes dessinées que les employés ne prennent pas au sérieux. Une « approche respectueuse » fonctionne mieux : elle repose sur une communication sur un pied d’égalité, plutôt que sur des interdictions et des sanctions.
La différence cruciale : les employés sont traités comme des adultes compétents et responsables. L’accent est mis sur une compréhension empathique de leurs besoins et de leurs réalités professionnelles, sans perdre de vue les objectifs de sécurité.
Il existe plusieurs techniques pour réussir à communiquer les politiques de sécurité et éviter les conflits :
Empathie tactique : Cela crée de la reconnaissance, renforce la confiance et garantit ainsi que les employés se sentent entendus et sont prêts à accepter les informations relatives à la sécurité.
« Aidez-moi à vous aider » au lieu de « Non » : Au lieu d’imposer des exigences de sécurité, les RSSI peuvent utiliser des questions ciblées « comment » pour encourager les utilisateurs à réfléchir aux solutions proposées. Si les utilisateurs ont des demandes de modification concernant les exigences de sécurité, la sécurité ne doit pas simplement dire « non ». Il est utile de demander ce que les employés eux-mêmes suggèrent pour à la fois se conformer aux exigences de sécurité et permettre un travail efficace. Cela crée un dialogue et facilite la recherche d’un compromis acceptable pour toutes les parties impliquées.
Expérience pratique au lieu de théorie sèche : Un concept de formation qui s’appuie sur une expérience directe confronte les participants à des scénarios réalistes, tels que des cyberattaques comme le phishing, les ransomwares ou les attaques USB. Ils découvrent directement, dans un environnement réaliste qui reproduit les lieux de travail typiques des petites et moyennes entreprises, comment se déroulent les cyberattaques. Cela crée une compréhension approfondie et durable de la sécurité informatique. Au lieu de cours magistraux, l’accent est mis sur les personnes et leurs expériences.
Les RSSI, façonneurs d’une culture de sécurité efficace
Le succès limité de nombreuses mesures de sécurité n’est pas uniquement dû aux utilisateurs : il s’agit souvent d’exigences irréalistes, d’un manque d’implication et d’une communication inadéquate. Pour les responsables de la sécurité, cela signifie : au lieu de compter sur l’éducation et les sanctions, un changement de paradigme stratégique est nécessaire. Ils devraient devenir une sorte d’architecte politique empathique dont la stratégie de sécurité fonctionne non seulement sur le plan technique, mais trouve également un écho au niveau humain. Ils créent des cadres dans lesquels des décisions sécurisées sont naturellement intégrées au travail quotidien. Cela nécessite un bon sens des objectifs contradictoires, une communication sur un pied d’égalité et la capacité d’ancrer la sécurité comme une valeur partagée au sein de l’entreprise.
