Comment faire durablement évoluer les comportements pour améliorer la cybersécurité ?

A l’occasion de l’édition 2020 du Forum International de la Cybersécurité, la Revue de la Gendarmerie Nationale a publié un dossier sur “L’humain au cœur de la cybersécurité”. Il m’a alors été demandé de rédiger un article donnant des pistes pour améliorer les comportements en la matière.

Vous trouverez cet article ci-dessous ainsi que sur la page dédiée au projet Cybernudge lancé avec le Laboratoire de Droit International et Européen (LADIE – EA 7414) de l’Université Côte d’Azur. Vous pouvez également télécharger l’intégralité du N°266 de la Revue et consulter les autres articles passionnants sur ces sujets, directement sur le site du CREOGN (Centre de Recherche de l’Ecole des Officiers de la Gendarmerie Nationale).

Hasard du calendrier, j’étais cette semaine à l’Ecole militaire à Paris, à l’INHESJ, pour donner une formation sur la recherche d’information sur le web et la veille aux étudiants du MBA spécialisé “Management de la Sécurité” de l’EOGN. J’en ai bien sûr profité, comme je le fais à chacune de mes interventions sur la veille, pour parler des biais cognitifs. Ce qui a été largement apprécié tant leur importance et leur impact dans toutes nos décisions du quotidien sont grands.

Bonne lecture…

Comment faire durablement évoluer les comportements pour améliorer la cybersécurité ?

Si l’Homme est souvent présenté comme un maillon faible en matière de sécurité, il est en fait le maillon fort sur lequel agir à condition d’adopter les bons comportements. Le domaine de la cybersécurité ne fait pas exception, bien au contraire. Mais comment agir pour faire adopter les bonnes attitudes et les conserver dans la durée : problème de management, besoin de « carottes » ou de « bâtons », de conseils ou de pédagogie ? « La vérité est (peut-être) ailleurs » comme diraient certains… mais où ?!

La cybersécurité est une affaire d’humain et concerne tout le monde !

La présence du numérique dans nos activités professionnelles et personnelles est telle que la cybersécurité est devenue un sujet de préoccupation pour tous. Que les problèmes soient causés directement ou indirectement par l’outil informatique (failles de sécurité, « bugs », pannes, …) ou de mauvais usages volontaires (attaques, arnaques, atteintes à la réputation, …) et involontaires (méconnaissance, fausse manipulation, …), ils impactent en effet au quotidien non seulement les citoyens mais également les entreprises, les collectivités territoriales ainsi que les institutions de l’Etat de manière générale (Ministère de la Défense, 2017; Ministère de l’Intérieur, 2018).

S’il fallait estimer la part de responsabilité directe dans les dommages observés entre les outils logiciels et le matériel informatique défaillants (et encore, ces outils sont pensés et conçus par l’Homme !) et la mauvaise utilisation de ces derniers, celle-ci irait jusqu’à 80% en « faveur » du facteur humain (Crossler et al., 2013). C’est ce que montrent les études récentes sur le sujet, confirmant les résultats mesurés depuis plusieurs années (Kaspersky Lab, 2017; KPMG, 2018; Prince, 2015; Proofpoint, 2018). Parmi ces 80% sont à distinguer les actes malveillants volontaires, finalement minoritaires même si les médias leur donnent plus de visibilité, des actes involontaires liés à des problèmes de comportement des usagers et à l’origine de la plupart des dommages subis (Proofpoint, 2018).

Les limites de la pédagogie en matière de cybersécurité

C’est sur ce sujet du comportement que sont réalisés les formations et messages pédagogiques préventifs afin de diminuer le risque « cyber ». A condition d’être répétées régulièrement, ces mesures sont efficaces et généralement mises en application mais souvent uniquement à court terme. D’une part car la pédagogie (au sens large) n’est pas toujours adaptée ni efficace (Bada et al., 2015; Bones, 2017), d’autre part car elles tentent de lutter contre de mauvaises habitudes fortement enracinées et des biais cognitifs. Si ces biais nous aident dans certaines situations (rapidité de réaction, tri dans ce qu’il est important de mémoriser, recherche de sens, …), c’est d’ailleurs pour cela qu’ils ont été conservés lors de l’évolution de notre espèce, ils nous poussent aussi à prendre des décisions pouvant paraître irrationnelles ou inappropriées au contexte. Ceci les rend comparables, pour rester dans le domaine informatique, à des « bugs » du cerveau, des failles de fonctionnement.

Certains de ces biais apparaissant lors de raisonnements en « système 1 », c’est à dire lors de pensées « réflexes » prenant des raccourcis (Kahneman, 2011; Kahneman and Tversky, 1974), peuvent être corrigés via une posture plus réfléchie, dite en « système 2 ». Mais ce mécanisme demande plus de temps, d’attention, consomme beaucoup d’énergie et est donc non spontané. D’autres peuvent être contournés ou mieux, utilisés pour faire agir dans l’intérêt de l’individu et de son environnement (entreprise, famille, etc.), à condition bien évidemment que cela se réalise dans le cadre d’une éthique sans faille, respectant une liberté de choix, sans manipulation et en toute transparence ; des critères encadrant ce qui a pris le nom il y a une dizaine d’années de « nudge » (Bruns et al., 2018; Hansen and Jespersen, 2013; Thaler et al., 2009).

Source image et droit d’auteurs : Revue de la Gendarmerie Nationale, N°266

Connaitre et utiliser les biais cognitifs pour améliorer la cybersécurité via les « nudges »

Dans le domaine de la sécurité, les recherches en « économie comportementale » ont déjà mis en avant des biais cognitifs pouvant être à l’origine d’erreurs aux conséquences parfois très graves (accidents d’avions, mauvais choix causes d’incidents dans le domaine du nucléaire, de l’aérospatiale, etc.)(Dejours, 2018; Morel, 2014; Reason, 2013) mais les solutions apportées pour les contrer font souvent figure de pansements plus ou moins efficaces (« check-lists », normalisation des procédures, …) car ne peuvent couvrir l’ensemble des situations, notamment en cas d’imprévus (Taleb, 2007) nécessitant une rapidité de décision.

Par contre, si l’on prend la sécurité routière par exemple, la création d’un nudge a bel et bien permis de diminuer de manière significative et durable les accidents. Un des cas les plus connus, cité dans de nombreux ouvrages dont celui du Prix Nobel d’Economie 2017 (Thaler et al., 2009), concerne la réduction des accidents au niveau d’une série de virages dangereux de « Lake Shore Drive » à Chicago. La solution la plus efficace identifiée (-40% d’accidents) a consisté à peindre sur le sol une série de bandes parallèles de plus en plus proches, donnant ainsi l’impression au conducteur que sa voiture accélère et l’incitant par réflexe « à lever le pied ». D’autres expérimentations, certaines réalisées en 2017 en France (La Voix du Nord, 2017) et mises notamment en application dans le XIVe arrondissement de Paris dès 2018, ont consisté à peindre des passages piétons en 3D « trompe l’œil » comme si ces derniers étaient en suspension. Le conducteur perçoit très bien qu’il s’agit d’une peinture et non de blocs de béton qui sortiraient du sol mais est fortement incité à ralentir au niveau du prétendu obstacle. Dans d’autres domaines, c’est le biais de comparaison sociale qui a pu montrer son efficacité : pour augmenter le nombre de donneurs d’organes au Royaume-Uni via un message sur la page d’accueil du site web dédié : « Chaque jour, des milliers de gens qui voient cette page décident de s’enregistrer » ou encore pour diminuer la consommation d’électricité chez un producteur aux Etats-Unis en faisant apparaitre sur la facture des utilisateurs un smiley coloré facilement compréhensible indiquant sa position par rapport à ses « voisins ». Des nudges basés sur les mêmes mécanismes ont été utilisés dans le métro, incitant les personnes à prendre les escaliers au lieu des escalators via l’apposition de visuels rappelant sur le premier une personne svelte, sur le deuxième une personne avec de l’embonpoint. Seul, l’individu sera peut-être toujours tenté par l’escalator mais sous le regard des autres, il préfèrera emprunter les escaliers, etc.

Tout cela pourrait-il fonctionner pour la cybersécurité ? Si pour le moment, très peu de publications mettant en évidence l’efficacité des nudges dans ce domaine ont vu le jour (Briggs et al., 2017; Choe et al., 2013; Coventry et al., 2014b; Pfleeger and Caputo, 2012; Renaud and Zimmermann, 2018; Tsai et al., 2010), ce n’est pas par manque de résultats positifs mais surtout par l’absence de recherches actives sur le sujet (Briggs et al., 2017; Coventry et al., 2014b). La « Behavioural Insight Team » (BIT), dite « Nudge Unit », département créé par le Premier ministre britannique afin d’étudier l’usage des nudges dans le domaine des politiques publiques, a publié un premier rapport en 2014 (Coventry et al., 2014a) listant en effet le fort potentiel des nudges dans l’amélioration de la cybersécurité. Un autre rapport plus récent de la BIT insiste sur l’importance de l’étude des comportements, en particulier l’attention, vis-à-vis du web afin notamment de promouvoir les bonnes attitudes (Halpern and Costa, 2019). En France, la « Revue stratégique de cyberdéfense » du 12 février 2018 produite par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN) indique dans ses recommandations qu’il serait nécessaire d’étudier « l’apport des nudges pour le développement de l’autonomie des citoyens en matière de cybersécurité » avec pour finalité de diffuser la culture de la sécurité numérique dans toute la société (SGDSN, 2018).

Malgré l’identification de cette forte potentialité des nudges en matière de cybersécurité, nous tardons pourtant en France à lancer des programmes de recherche dédiés, probablement en partie par la difficulté de travailler de manière transdisciplinaire entre sciences sociales et sciences « de l’ingénieur »… un autre biais, culturel cette fois-ci ! Notons tout de même quelques initiatives visant à identifier de tels nudges comme le projet « CyberNudge » que j’ai eu le plaisir d’initier récemment au Laboratoire de Droit International et Européen de l’Institut du Droit de la Paix à l’Université de Nice Côte d’Azur.

Si l’humain est au cœur de la cybersécurité, travaillons sur l’humain !

Une nouvelle tendance en matière de gestion de la cybersécurité, certes non applicable à tous les domaines, consiste à éliminer le problème « à la racine » en réduisant voire supprimant totalement la présence de l’outil informatique dans les processus industriels notamment (gestion et production d’énergie, etc.) au profit donc de l’humain et d’outils plus analogiques (Bochman, 2018). Cette approche recentrée sur l’humain rend l’identification et l’utilisation de nudges d’autant plus pertinentes, mais pas seulement. En replaçant l’humain au centre de la démarche de cybersécurité, ce sont tous les enseignements liés à l’optimisation de nos comportements et à l’amélioration de la qualité de nos décisions qui doivent être mobilisés : Intelligence Emotionnelle, Intelligence Interpersonnelle, Psychologie sociale et cognitive, etc. L’objectif étant d’apprendre à mieux nous connaitre et connaitre les autres, à améliorer notre attention et concentration par la pratique de la méditation en pleine conscience par exemple, à comprendre ce qui nous motive, à valoriser et mieux utiliser nos « soft-skills » (confiance, empathie, créativité, gestion du stress, etc.)… en bref, à mieux maitriser l’information sous toutes ses formes dans son identification, sa sécurité et utilisation, ce que j’ai regroupé sous le terme d’ « Intelligence Personnelle » par analogie avec l’Intelligence Economique et la bonne gestion des informations dans les entreprises.

Le champ parait ainsi vaste mais à l’avantage d’une part de susciter actuellement, et très sûrement pour les années qui arrivent, un fort intérêt des scientifiques, comme nécessaire équilibre face aux progrès et à l’engouement pour l’Intelligence Artificielle, et d’autre part de bénéficier déjà de très nombreuses publications solides dans les domaines de la psychologie, des sciences sociales ou des neurosciences notamment.  Car s’il y a une machine surpuissante qui évolue pourtant très lentement au regard des avancées technologiques, c’est bien le cerveau humain. Osons l’interdisciplinarité et focalisons-nous sur toutes ces études en lien avec les comportements et les biais cognitifs pour améliorer efficacement notre cybersécurité.

Olivier Pommeret
Chercheur associé au LADIE (EA 7414)

Bibliographie sélective

  • Alemanno, A., Sibony, A.-L., 2015. Nudge and the Law. Hart Publishing.
  • Bada, M., Sasse, A., Nurse, J., 2015. Cybersecurity Awareness Campaigns. Why Do They Fail to Change Behaviour? https://www.sbs.ox.ac.uk/cybersecurity-capacity/content/cybersecurity-awareness-campaigns-why-do-they-fail-change-behaviour.
  • Bochman, A., 2018. Internet Insecurity : No amount of spending on defenses will shield you completely from hackers. It’s time for another approach. Harv. Bus. Rev.
  • Bones, J., 2017. Cognitive Hack: The New Battleground in Cybersecurity … the Human Mind (Internal Audit and IT Audit). CRC Press.
  • Briggs, P., Jeske, D., Coventry, L., 2017. Behavior Change Interventions for Cybersecurity, in: Little, L., Sillence, E., Joinson, A. (Eds.), Behavior Change Research and Theory. Academic Press, San Diego, pp. 115–136. https://doi.org/10.1016/B978-0-12-802690-8.00004-9
  • Bruns, H., Kantorowicz-Reznichenko, E., Klement, K., Luistro Jonsson, M., Rahali, B., 2018. Can nudges be transparent and yet effective? J. Econ. Psychol. 65, 41–59. https://doi.org/10.1016/j.joep.2018.02.002
  • Choe, E.K., Jung, J., Lee, B., Fisher, K., 2013. Nudging People Away from Privacy-Invasive Mobile Apps through Visual Framing, in: Kotzé, P., Marsden, G., Lindgaard, G., Wesson, J., Winckler, M. (Eds.), Human-Computer Interaction – INTERACT 2013, Lecture Notes in Computer Science. Springer Berlin Heidelberg, pp. 74–91.
  • Coventry, L., Briggs, P., Blythe, J., Tran, M., 2014a. Using behavioural insights to improve the public’s use of cyber security best practices. Behavioural Insight Team.
  • Coventry, L., Briggs, P., Jeske, D., van Moorsel, A., 2014b. A Structured Means for Creating and Evaluating Behavioral Nudges in a Cyber Security Environment, in: Marcus, A. (Ed.), Design, User Experience, and Usability. Theories, Methods, and Tools for Designing the User Experience, Lecture Notes in Computer Science. Springer International Publishing, pp. 229–239.
  • Crossler, R.E., Johnston, A.C., Lowry, P.B., Hu, Q., Warkentin, M., Baskerville, R., 2013. Future directions for behavioral information security research. Comput. Secur. 32, 90–101. https://doi.org/10.1016/j.cose.2012.09.010
  • Dejours, C., 2018. Le facteur humain, 7e édition. ed. Presses Universitaires de France – PUF.
  • Halpern, D., Costa, E., 2019. The behavioural science of online harm and manipulation, and what to do about it https://www.bi.team/publications/the-behavioural-science-of-online-harm-and-manipulation-and-what-to-do-about-it/
  • Hansen, P., Jespersen, A., 2013. Nudge and the Manipulation of Choice. A Framework for the Responsible Use of Nudge Approach to Behaviour Change in Public Policy (SSRN Scholarly Paper No. ID 2555337). Social Science Research Network, Rochester, NY.
  • Kahneman, D., 2011. Thinking, Fast and Slow.
  • Kahneman, D., Tversky, A., 1974. Judgment under Uncertainty: Heuristics and Biases. Science 185, 1124–1131.
  • Kaspersky Lab, 2017. The Human Factor in IT Security: How Employees are Making Businesses Vulnerable from Within | Kaspersky Lab official blog https://www.kaspersky.com/blog/the-human-factor-in-it-security/
  • KPMG, 2018. Cybersecurity and the CFO | KPMG | BE  KPMG. URL https://home.kpmg.com/be/en/home/insights/2017/08/cybersecurity-and-the-cfo.html.
  • La Voix du Nord, 2017. Sécurité routière – Le premier passage piétons en 3D est à Cysoing Voix Nord. URL http://www.lavoixdunord.fr/253682/article/2017-10-27/le-premier-passage-pietons-en-3d-est-cysoing.
  • Ministère de la Défense, 2017. Cybersécurité : au cœur des menaces informatiques, le facteur humain https://www.defense.gouv.fr/terre/actu-terre/cybersecurite-au-coeur-des-menaces-informatiques-le-facteur-humain.
  • Ministère de l’Intérieur, 2018. État de la menace liée au numérique en 2018. http://www.interieur.gouv.fr/Le-ministre/Communiques/Etat-de-la-menace-liee-au-numerique-en-2018.
  • Morel, C., 2014. Les décisions absurdes: Sociologie des erreurs radicales et persistantes.
  • Pfleeger, S.L., Caputo, D.D., 2012. Leveraging behavioral science to mitigate cyber security risk. Comput. Secur. 31, 597–611. https://doi.org/10.1016/j.cose.2011.12.010
  • Prince, B., 2015. Employees Not Following Policy is the Biggest Threat to Endpoint Security, IT Pros Say | SecurityWeek.Com https://www.securityweek.com/employees-not-following-policy-biggest-threat-endpoint-security-it-pros-say.
  • Proofpoint, 2018. The Human Factor 2018 Report https://www.proofpoint.com/us/human-factor-2018.
  • Reason, J., 2013. L’erreur humaine: 2ème édition., 1st ed. Transvalor – Presses des mines, Paris.
  • Renaud, K., Zimmermann, V., 2018. Guidelines for ethical nudging in password authentication. SAIEE Afr. Res. J. 109, 102–118.
  • SGDSN, 2018. Revue stratégique de cyberdéfense | Secrétariat général de la défense et de la sécurité nationale http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
  • Sunstein, C.R., 2016. The Ethics of Influence: Government in the Age of Behavioral Science. Cambridge University Press, New York, NY.
  • Taleb, N.N., 2007. Le Cygne noir : La puissance de l’imprévisible.
  • Thaler, R., Sunstein, C., Midal, F., Pavillet, M.-F., 2009. Nudge : La méthode douce pour inspirer la bonne décision. Pocket, Paris.
  • Tsai, J.Y., Egelman, S., Cranor, L., Acquisti, A., 2010. The Effect of Online Privacy Information on Purchasing Behavior: An Experimental Study. Inf. Syst. Res. 22, 254–268. https://doi.org/10.1287/isre.1090.0260
  • Wikipedia, 2018a. Apprentissage profond. Wikipédia.
  • Wikipedia, 2018b. AlphaGo. Wikipédia.

Source et droits d’auteurs images et image à la Une : Revue de la Gendarmerie Nationale N°266