Au sein des entreprises, il est attendu que les employés adoptent un comportement conforme aux normes de sécurité, ces dernières étant souvent détaillées dans diverses politiques internes. Cependant, il n’est pas rare que les individus ne suivent pas ces directives ni n’utilisent correctement les outils de sécurité mis à leur portée. Une recherche menée par Gartner révèle que 69 % des employés ignorent sciemment les règles de cybersécurité, et 93 % adoptent des comportements à risques lorsqu’ils se sentent contraints.
Le problème de motivation est-il central ?
Souvent, on suppose que le non-respect des règles de sécurité vient d’un manque de sensibilisation ou d’incitations disciplinaires. Une étude récente a également montré que les employés qui ne se sentent pas valorisés par leur entreprise sont plus susceptibles de succomber à des attaques d’ingénierie sociale. Des chercheurs de l’Université de Warwick ont donc décidé d’explorer plus en profondeur cette question.
La volonté de se conformer aux politiques de sécurité est généralement vue comme un engagement non-dit entre l’entreprise et ses employés, qui, en échange, reçoivent divers avantages. Tant que ce pacte est respecté (par exemple, flexibilité des horaires, primes, soirées festives), un respect mutuel prévaut. Les deux parties adhèrent alors aux règles explicites et implicites qui régissent leur relation de travail.
Cependant, avec le temps, de nouvelles attentes peuvent émerger, comme la possibilité de faire du télétravail pour des raisons familiales. Si ces attentes ne sont pas satisfaites, cela peut engendrer de la frustration et de l’insatisfaction, rendant le respect des accords plus complexe, car les attentes non formulées sont par nature difficiles à gérer.
La rupture du contrat psychologique peut mener à la non-conformité
La rupture du contrat psychologique (RCP) peut provoquer des comportements non conformes en raison de frustrations et d’attentes non comblées. L’équipe de l’Université de Warwick a étudié l’impact de la RCP sur la volonté de suivre les politiques de sécurité de l’information, en prenant en compte la motivation intrinsèque (attitudes, auto-efficacité, perception de l’équité) et extrinsèque (normes sociales, sévérité et certitude des sanctions).
Les résultats de l’étude montrent qu’une forte RCP réduit la conformité. La RCP affecte négativement l’attitude et la perception de l’équité (motivation intrinsèque), mais ne touche pas la sévérité des sanctions (motivation extrinsèque). Les individus fortement impactés par une RCP sont plus difficiles à motiver et à former, car ils manquent de motivation intrinsèque. La RCP peut ouvrir la voie à l’ingénierie sociale en alimentant des perceptions négatives envers l’organisation.
Pour atténuer les effets de la RCP, les entreprises dotées d’un leadership solide et d’une culture de sécurité bien établie cherchent à respecter leurs engagements psychologiques envers leurs équipes, en améliorant leur attitude envers la conformité aux politiques de sécurité. Voici quelques stratégies recommandées :
– Encourager une communication transparente et la confiance.
– Renforcer l’autonomisation à travers le soutien et l’interaction sociale.
– Favoriser un style de management persuasif plutôt qu’autoritaire.
– S’attaquer aux perceptions d’injustice concernant les politiques de sécurité.
– Établir une culture de cybersécurité robuste.
– Investir dans la transformation culturelle de l’organisation.
Créer une culture de sécurité positive
Un comportement sécurisé nécessite des outils accessibles, un cadre politique clair et une motivation intrinsèque à protéger l’organisation. Les programmes de sécurité efficaces intègrent les individus, les processus et la technologie. La culture de sécurité est essentielle pour les entreprises, car elle représente un état d’esprit positif en matière de cybersécurité et joue un rôle clé dans la protection de l’organisation. Une culture solide en sécurité incite les employés à adopter des comportements sécurisés, réduisant ainsi les risques d’attaques comme le phishing.
À propos de l’auteur :
Martin Kraemer est un expert en sensibilisation à la sécurité chez KnowBe4. Avec plus de dix ans d’expérience dans la recherche et l’industrie de la cybersécurité, il se concentre sur les aspects humains de l’informatique. Martin a occupé divers postes dans l’innovation, la recherche et le conseil en technologie, travaillant avec des organisations publiques et privées dans les domaines de la sécurité de l’information et de la protection des données.
L’article « Cybersécurité : vos salariés peuvent être le danger ! » est publié sur Beaboss.fr, le site dédié aux dirigeants de petites et moyennes entreprises.
Articles similaires
- Alerte Cyber : Le Danger Majeur se Trouve Juste Devant Votre Clavier !
- Motivation ou illusion ? L’impact réel de l’argent révélé !
- Reprenez le contrôle : comment assurer votre souveraineté numérique dès maintenant !
- Boostez votre productivité : la sieste devient un indicateur clé en entreprise !
- Droit et Contrôle dès le Premier Jour : Les Révélations de Maxime Thomas !
