Il convient d’ajouter la psychologie à la longue liste des domaines que doivent maîtriser les
RSSI pour sécuriser leurs organisations. Selon un analyste du cabinet Gartner, il est essentiel de
connaître les bonnes techniques pour toucher les utilisateurs finaux. A défaut de quoi, il ne sera
pas possible d’éliminer les mauvaises pratiques. Andrew Walls, vice-président recherche au sein du
cabinet s’exprimait la semaine passée à l’occasion de l’édition 2014 du Gartner Security Risk
Management Summit. Et selon lui, de nombreuses organisations échouent dans leurs efforts à
améliorer la posture de sécurité de leurs utilisateurs simplement parce qu’elles ne prennent pas en
compte les cinq facteurs psychologiques clés qui influencent les comportements : la réputation, le
choix, les relations, la maîtrise, et l’intégrité. Selon Walls, « ces éléments constituent un
flux continu dans nos vies, mais ils motivent et structurent nos comportements. »

Pour Walls, les opportunités d’influencer les utilisateurs pour les conduire à faire des choix
sûrs résident dans la compréhension de la manière dont ils veulent être perçus (réputation), dans
leur degré d’autonomie et de liberté (choix), dans la qualité de leurs relations avec leurs
collègues (relations), dans leur capacité à développer et à entretenir des compétences (maîtrise),
et dans la façon dont les individus développent une confiance réciproque (intégrité).

Selon l’analyste, c’est la compréhension de ces cinq composants qui permet aux équipes de
sécurité d’appliquer certaines techniques pour encourager aux comportements sûrs. A titre
d’exemple, Walls a ainsi comparé l’envoi d’un e-mail contenant des données sensibles avec l’achat
de pain moisi : alors qu’un individu réalise immédiatement qu’acheter le pain était un mauvais
choix, parce que le moisi engendre immédiatement une réaction extérieure négative, les équipes de
sécurité échouent trop souvent à générer un même type de réaction lors de la violation d’une règle
interne. « Nous les formons chaque année, chaque trimestre, et pourtant, ils continuent de
prendre les mêmes décisions », a ainsi relevé Walls : « vous le constatez sur votre
système de DLP ou votre SIEM, mais l’utilisateur ne voit rien. » Et c’est là qu’il convient de
changer quelque chose. Pour Walls, les équipes de sécurité doivent fournir une réaction aux
utilisateurs lorsqu’ils violent des règles de sécurité ou prennent des décisions discutables, mais
également les encourager lorsqu’ils prennent de bonnes décisions.

Selon l’analyste, les seuls retours négatifs ne font qu’aliéner l’équipe de sécurité et
soulignent subtilement aux utilisateurs que quelqu’un veille sur la sécurité à leur place :
« si vous vous contentez de punir, vous renforcez le sentiment des utilisateurs selon lequel
la sécurité leur est extérieure. Et ceux-ci de penser que c’est hors de leur contrôle. Ils ont
besoin de percevoir les conséquences. »

Et Walls de militer pour faire de la sécurité le « choix facile » pour les
utilisateurs, en s’appuyant sur le concept selon lequel deux forces s’opposent dans l’esprit de
chacun - les processus de réaction et de réflexion - comme Chip et Dan Heath le décrivent dans le
livre Switch. L’analyste a ainsi relevé que plus de 90 % des choix réalisés par une personne sont
le fait de la partie réactive du cerveau, la plus rapide, basée sur la répétition. Les choix les
plus compliqués relevant du processus de réflexion, plus lent, et plus consommateur d’énergie. Dès
lors, pour Walls, les choix de sécurité doivent être réflexes et intuitifs. Et d’offrir là encore
des suggestions basées sur les cinq facteurs clé de la psychologie présentés précédemment.

Pour stimuler la composante réputation, Walls, a suggéré la mise en place de programmes de
reconnaissance par les pairs qui reconnaissent et récompensent publiquement ceux qui font des choix
en faveur de la sécurité de l’information. Et de souligner que les utilisateurs doivent disposer
d’un niveau suffisant de responsabilité pour apprendre à faire les bons choix, mais également
d’opportunités de faire des erreurs, dans un environnement de test sûr. « Nous avons tous des
bacs à sable ou des environnement de test pour compiler nos applications, les tester, les voir
planter et recompiler. Nous faisons ça tout le temps. Nous devons laisser nos utilisateurs faire
pareil. Fournissons-leur des environnements où tester leurs comportements et échouer. »

Walls a également suggéré d’encourager la discussion sur les sujets de la sécurité et des
risques afin que les utilisateurs puissent construire des relations. Et de citer un client de
Gartner qui a publié sa politique de sécurité sur un wiki et demandé à ses employés de la lire et
de suggérer des changements. Ce dernier point n’était pas le plus important : ce qu’il voulait
était que les employés communiquent ensemble sur le sujet.

Enfin, Walls a souligné un point clé : les utilisateurs vont croire en l’intégrité des efforts
de sécurité s’ils voient d’autres, et en particulier leurs dirigeants, adhérer activement au
programme de sécurité. « Nous devons impliquer tout le monde, de haut en bas de la hiérarchie.
Car chaque action, chaque décision prise, sera rendue publique au sein de l’entreprise - dès qu’une
personne sait, tout le monde sait. » Mais ce dernier point est peut-être le plus difficile à
atteindre.

Adapté de l’anglais par la rédaction.