Pourquoi les employés enfreignent les protocoles de cybersécurité
Selon une recherche académique, les employés enfreignent les protocoles de cybersécurité surtout par crainte de perdre en productivité. Mais aussi pour aider leurs collègues ou quand ils sont en situation de stress. Les comportements délibérément malveillants sont rares.
L'humain est régulièrement identifié comme le maillon faible en matière de sécurité. Et ce d'autant plus depuis que la crise pandémique a forcé nombre de collaborateurs à travailler à domicile. Cependant, les entreprises n’auraient pas la bonne attitude envers les risques cyber que prennent leurs collaborateurs, suggère une récente recherche académique menée par Clay Posey, professeur en informatique à l'université Brigham-Young, et Mindy Shoss, professeure en psychologie à l’université de Floride centrale.
Comportements intentionnels mais pas malveillants
La plupart des entreprises ont tort de partir du principe que les employés enfreignent les protocoles de sécurité IT par ignorance ou par malveillance, affirment les deux chercheurs dans un résumé de leur recherche publiée par la Harvard Business Review. Si les comportement risqués sont en général intentionnels, ils n’ont presque jamais pour objectif de nuire à l'entreprise.
Auto-arbitrage entre risques cyber et productivité
Basée sur un sondage mené auprès de 330 télétravailleurs, l’étude indique que les protocoles de sécurité sont régulièrement enfreints car les employés doivent eux-mêmes faire l'arbitrage entre risques cyber et productivité. Deux fois sur trois, les protocoles sont contournés par les employés car cela leur paraît nécessaire pour mieux accomplir les tâches ou pour obtenir quelque chose dont ils ont besoin. Une fois sur cinq, la cause réside dans une forme d'altruisme, en l'occurrence le besoin d'aider un collègue dans son travail. Les comportements délibérément malveillants représentent une infime minorité.
Le stress joue rôle
L’étude montre également que les employés sont plus susceptibles d'enfreindre sciemment les protocoles de sécurité quand ils se sentent stressés. Ironie du sort, ces protocoles constituent l’un des facteurs de stress cités par les télétravailleurs interrogés. D’autres facteurs jouent aussi un rôle, tels que les conflits entre exigences familiales et professionnelles, ou encore les craintes liées à la sécurité de l'emploi.
Adapter les protocoles en conséquence
En guise de conclusion, les auteurs de l’étude recommandent aux entreprises d'adapter en conséquence leurs programmes de sensibilisation et leurs protocoles de sécurité. Ces derniers devraient davantage inclure le fait que de nombreuses infractions commises par des employés résultent d'une tentative d'équilibrer sécurité et productivité. Il convient aussi d'identifier et de réduire les sources de stress pour leurs équipes. En outre, il est important que les employés prennent conscience que leur altruisme est un maillon faible aux yeux des cyberpirates et escrocs en ligne. Certaines de leurs tactiques d’ingénierie sociales consistent en effet à se faire passer pour un collègue demandant un coup de pouce.
