Comment intégrer l’utilisateur dans le management des risques cybers ?

Cet article sur l’intégration de l’utilisateur dans le management des risques cybers a été écrit avec Jeanne Leroy (1). Il vise à sensibiliser et mieux appréhender les vulnérabilités humaines et les dérives des comportements des utilisateurs dans l’interaction homme-machine.

Publié le
Lecture : 5 min
Comment intégrer l’utilisateur dans le management des risques cybers ?
Comment intégrer l’utilisateur dans le management des risques cybers ? | journaldeleconomie.fr
Longtemps confié aux directions informatiques, le risque cyber est devenu un enjeu stratégique et managérial. Des approches innovantes voient le jour. La capacité de défense des entreprises est renforcée au point que cette dernière devienne un véritable atout concurrentiel. Cependant, un paradoxe subsiste au sein du management des risques cyber. Même un éditeur de logiciel de sécurité comme IBM déclare que 90 % des cyber-incidents sont d’origine humaine. Les utilisateurs incarnent le maillon le plus faible de la chaîne de cybersécurité, tout en étant le moins pris en compte. Ce paradoxe prend racine dans la manière dont les organisations abordent la cybersécurité. Ainsi, les entreprises implémentent principalement des processus et des formations à visées techniques, sans réellement prendre en considération l’interaction Homme-Machine. Or la conception d’un système ne prenant pas en compte le facteur humain ne peut comporter que des fragilités. En appliquant le prisme des sciences comportementales aux défis de la cybersécurité, les entreprises peuvent identifier de nouvelles façons d’aborder le management des risques cybers. Aujourd’hui, les entreprises intègrent les comportements des salariés comme des menaces internes potentielles et leur stratégie pour y faire face consiste à détecter les salariés qui enfreignent les règles relatives à l’accès aux données et à leur utilisation. Ce type de politique en termes de management des risques n’atténue pas de manière proactive la menace avant que l’action ne se produise. En effet, l’entreprise est souvent avertie lorsque le problème a déjà eu lieu. La clé pour identifier et accompagner les employés avant qu’un incident ne se produise est de se concentrer autant sur la compréhension du comportement humain que sur le renforcement des défenses technologiques.
 

Dans cette optique, il convient de positionner les comportements à risques des utilisateurs dans le modèle traditionnel de management du risque. Ce dernier repose sur les piliers suivants:

(1) les actifs (ce qui doit être protégé) ;
(2) les vulnérabilités (les failles, ce qui manque de solutions)
(3) les menaces (ce qui exploite les vulnérabilités).
 

On peut alors identifier trois types de comportements utilisateurs : les comportements non-intentionnels (quand l’utilisateur est celui qui doit être protégé), les comportements intentionnels sans volonté de nuire (quand l’utilisateur augmente le risque de vulnérabilités) et les comportements intentionnels malveillants (quand l’utilisateur crée volontairement de nouvelles menaces).

Réussir à prévenir les comportements non-intentionnels

Les comportements non-intentionnels sont le canal de transmission entre la cyber-attaque et l’entreprise cible. Via les techniques d’ingénierie sociale (pratique de manipulation psychologique à des fins d’escroquerie), les cybercriminels vont « hacker » le cerveau de l’utilisateur (qui se présente ici comme victime) pour obtenir qu’il se conforme à leurs demandes. Au niveau cognitif, ce phénomène correspond à un détournement amygdalien. Les attaquants vont s’efforcer de créer un sentiment de peur, d’anxiété, d’urgence, de panique, visant à convaincre l’utilisateur d’agir de manière impulsive (comportements dysfonctionnels). Une des attaques les plus fructueuses reste à ce jour « l’arnaque au président ». Le cabinet expert-comptable CDER en a fait les frais en février dernier avec une escroquerie chiffrée à 14,7 millions d’euros. Il s’agit d’un chiffre record en Europe. « C’est un véritable lavage de cerveau dont a été victime la responsable comptable qui a effectué les virements » a déclaré l’avocat de CDER.

Les salariés sensibles à l’ingénierie sociale sont le plus souvent des utilisateurs « novices » en cybersécurité auxquels les entreprises vont chercher à proposer des formations. Afin d’éviter ces risques, il convient de combiner une meilleure connaissance des techniques des agresseurs avec des stratégies de réduction de l’intensité émotionnelle perçue. La communication interne reste également un outil clé sur l’identification des risques, des pratiques et des procédures d’urgence.

Réduire les comportements de contournements des règles sécuritaires

Les comportements intentionnels sans volonté de nuire renvoient à l’ensemble des comportements contournant délibérément les règles sécuritaires, sans intention de nuire aux parties prenantes de l’organisation. Ils peuvent être réalisés par des experts en informatique en réponse à une politique d’hygiène de sécurité stricte ou lors de l’implémentation de nouveaux protocoles/outils sécuritaires. Les salariés doivent de manière répétée, dès qu’il y a besoin d’accéder à un système critique retourner au Bastion et passer par des processus d’authentification forte (Multi-Factor Authentication). Ces environnements de travail entraînent des difficultés dans la réalisation des tâches par manque d’accès à certaines fonctionnalités et viennent augmenter la dimension agentique du salarié et sa perte de contrôle et d’autonomie. Par ailleurs, le maintien d’un niveau élevé de vigilance et de sensibilisation à la sécurité génère également une « fatigue de la sécurité ». Cette fatigue peut conduire à la fois à des négligences dangereuses pour la santé générale d’une organisation et à des comportements plus intentionnels comme la création et l’ouverture d’accès privilégiés en dehors de ce protocole sécuritaire.

Prévenir ces comportements revient par conséquent à réduire la fatigue sécuritaire perçue, en soutenant la pensée systématique des utilisateurs lors de l’évaluation combinée des « coûts et avantages » en matière de conformité et de non-conformité. Dans ce domaine, à l’appui de la théorie de l’évitement des menaces technologiques, il est possible de dégager plusieurs éléments à prendre en compte pour l’utilisateur, à savoir: les critères de facilité et d’utilité en situation de conformité mais également les bénéfices attendus en situation de non-conformité, afin de mieux cerner les risques potentiels de contournements de règles sanitaires.

Une réaction à partager ? Laissez votre commentaire

Détecter et Prévenir les comportements malveillants

Quand ils ne relèvent pas de l’hacktivisme, les comportements malveillants renvoient à des représailles organisationnelles directes, telles que le vol, le sabotage, la destruction de bien, l’altération de la réputation de l’entreprise… Ces comportements sont le fruit de la traduction d’un sentiment de colère (injustice, frustration…). Ils sont perpétrés par des salariés dits « initiés » ayant généralement une forte expertise technique ou des process internes de l’organisation. L’entreprise Cisco Systems Inc. a récemment subi la représaille orchestrée par un de ses anciens ingénieurs. Ce dernier a déployé un code supprimant 456 machines virtuelles pour Webex Teams, l’outil de réunion vidéo et de collaboration de Cisco, supprimant plus de 16 000 comptes Webex Team. Cisco a dû ainsi dépenser 1,4 million de dollars pour réparer les dommages et rembourser plus d’un million de dollars aux clients concernés. Cet exemple met en lumière les limites de « l’offboarding» et la nécessité d’être vigilant aux pratiques managériales mises en place au sein de la structure, afin de réduire au maximum le niveau de colère et le risque de passage à l’acte. La prévention des comportements de cyber malveillance en tant que représailles organisationnelles peut s’appuyer sur les recherches conduites depuis plusieurs décennies en psychologie organisationnelle. Les principaux leviers identifiés à ce jour pour réduire le passage à l’acte des salariés sont la mise en place d’un climat et d’un leadership exemplaire, juste et éthique. Les travaux menés sur ce sujet sont également des outils clés dans la détection des comportements des initiés. En effet, il est reconnu que l’intensité des comportements de représailles est progressive. Ainsi avant de réaliser des comportements de malveillance il est très probable qu’un salarié réalise des comportements avec un impact moindre qui puissent être détectables par l’entreprise.

Conclusion

Il existe une relation symbiotique entre les disciplines de l’informatique et de la psychologie : les psychologues ont aidé par de nombreuses manières, à comprendre la façon dont les systèmes informatiques sont développés et utilisés. De plus, l’utilisation des outils informatiques a également aidé les psychologues à modéliser et à étudier les processus cognitifs et sociaux des utilisateurs. Ainsi, pour concevoir, développer, mettre en œuvre et évaluer des systèmes informatiques sécurisés, les cyber-défenseurs comme les dirigeants doivent comprendre les concepts et les méthodes de recherche en psychologie. Pour comprendre les risques potentiels des systèmes sociotechniques, les experts en cybersécurité doivent appréhender et prendre en compte la façon dont les utilisateurs perçoivent, se souviennent, ressentent, pensent et résolvent les problèmes. Il est également important de prendre en considération les différences individuelles des utilisateurs et les comportements sociaux pour parvenir à une interaction efficace entre les personnes et les systèmes informatiques. La compréhension de ces sujets psychologiques doit permettre d’envisager les capacités et les limites potentielles des utilisateurs de systèmes informatiques et  les aider à concevoir des systèmes efficaces pour tous les types d’utilisateurs.

Notes:

(1) Article d’Olivier Meier, Professeur des Universités,  réalisé en collaboration avec Jeanne Le Roy, enseignante-chercheuse (Observatoire ASAP), spécialisée dans le champ du comportement organisationnel et de la cybersécurité.
Olivier Meier est Professeur des Universités, HDR (Classe exceptionnelle), directeur de l’Observatoire ASAP « Action Sociétale et Action Publique » I Chaire Innovation Publique Polytechnique - Sciences Po et membre du conseil d'administration de l'Institut d'Etudes Politiques (IEP) de Fontainebleau. Il enseigne la stratégie et le management à l'Université Paris Est, Paris Dauphine et Sciences Po Paris. Directeur de recherche au LIPHA Paris Est, il est visiting Professor au centre européen d'Harvard Business School. Il est également chercheur associé à la Chaire ESSEC sur l'innovation managériale et membre du comité scientifique de la Chaire Prévention & Performance à CentraleSupelec. Il est l'auteur d'une soixantaine d'articles dans des revues scientifiques de renom et d'une trentaine d'ouvrages consacrés à la stratégie. Il a reçu plusieurs prix et distinctions, dont celui de la meilleure communication décerné par la Fondation Paris Dauphine et celui du meilleur article (Best Article Award) publié dans la revue Family Business Review et décerné par la Family Firm Institute à Chicago (USA). Il a été rédacteur en chef invité (Guest Editor) de plusieurs revues scientifiques [M@n@gement, Management international...] et vient de coordonner un numéro spécial du Libellio (AEGIS - Ecole Polytechnique) sur l'attractivité du métier d'enseignant-chercheur, sous la direction de H. Dumez, professeur à l'Ecole Polytechnique et directeur de recherche au CNRS. Olivier Meier est rédacteur en chef de la Revue « Management et Stratégie » (peer-reviewed Journal) et membre du jury du Prix Académique de la Recherche en Management – SYNTEC / FNEGE. Il est aujourd’hui chroniqueur pour Harvard Business Review, FNEGE Médias et XERFI Canal. Ses travaux ont été publiés dans la Presse nationale (Les Echos, La Tribune, Le Monde...) et internationale (The Economist, Daily Management Review..), ainsi que dans divers médias audiovisuels (BFM Business, Décideurs TV...) et en ligne (The Conversation, AOC Média, Atlantico...). Prix et distinctions -------------------------------- Promotion à la classe exceptionnelle des Professeurs d'université - Contingent national (CNU) 2023, Top Read Author I Harvard Business Review - Fr 2022, Top Cited Author I JASP - Wiley 2017, FBR Best Article Award I Sage 2015, Best Paper Award in Strategic Alliances - AIMS. 2011, Best Paper Award for SME Transfer - ABSRC. 2011, Best Paper Award for IT Project Mgmt - AIM. 2009, Nomination I Prix Advancia Entrepreneuriat. ​​Plusieurs de ses ouvrages ont reçu la labellisation FNEGE ou (et) ont été recommandés par les Ministères de l'Éducation Nationale et de la Culture. Ils ont également été sélectionnés comme "ouvrages de référence" aux concours d'entrée de la haute fonction publique (INSP, IEP, ENS). 69 Publications HCERES/FNEGE, dont 20 articles dans des revues de rang A: --------------------------------------------------- - Journal of Business Ethics (2) - Journal of Business Research (1) - Family Business Review (1) - Small Business Economics (1) - Organizational Dynamics (1) - M@n@gement (2) - Système Information et Management (1) - Growth and Change (1) - Comptabilité - Contrôle - Audit (1) - Revue Française de Gestion (2) - Management international (3) - Logistique & Management (1) - Gestion des Ressources Humaines (3). Publications (Livres) ------------------------------- Meier O., Diagnostic stratégique, 6ème éd., Dunod. Meier O., Guide stratégique du Dirigeant, VA Editions. Meier O., Schier G., Fusions acquisitions, 6ème ed., Dunod. Contact:
Suivez-nous sur Google NewsJournal de l'Économie. Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Laisser un commentaire

Share to...