Le maillon faible de la cybersécurité a toujours été l’homme. Alors que les enjeux sécuritaires ne vont aller qu’en s’amplifiant, peut-on imaginer que ce maillon se renforce durablement, ou sommes-nous condamnés à la faillibilité permanente, quelles que soient les avancées technologiques ?
Cybersécurité et hygiène : même combat ?
A C2MTL (Commerce+Creativité Montreal), Michelle Dennedy, la Chief Privacy Officer de McAfee a eu une comparaison étonnante pour parler des mots de passe : « ils doivent être comme vos petites culottes : avec un peu de fantaisie, rester cachés et surtout, changez les de temps en temps ! » (via Petit Web).
Cette citation, même si elle ne concerne que les mots de passe, est une des plus parlantes que j’ai entendues autour de la sécurité informatique. Car elle s’attache au comportement humain, qui est la clé du système.
S’il s’agit finalement d’une hygiène de vie « virtuelle » à adopter, comment faire ? Car il ne suffit pas de le dire ou de le vouloir pour le faire !
Un devoir de raison, ou une gestion des émotions ?
Pourquoi adoptons-nous une certaine hygiène de vie ? A commencer par l’hygiène corporelle ? Même si LES raisons peuvent sembler logiques, LA raison de le faire ne l’est pas souvent. L’éducation à l’hygiène commence dès l’enfance, et quand on est enfant, on n’a tout simplement pas le choix !
En règle générale, chez les enfants, c’est une obligation imposée par les parents, un devoir de raison, en quelque sorte : à force de s’exécuter et de s’entendre dire qu’il faut le faire, on se brosse les dents et on se lave, mais sans contrôle, combien d’enfants se précipiteraient sur leur dentifrice à heure fixe ?
Une alternative consiste à rendre ces moments rigolos et agréables (le bain et les petits canards), ou à y associer une récompense, encore faut-il arriver à faire cette animation quotidiennement.
Plus grands, la motivation peut aussi devenir celle d’éviter un désagrément (surtout si on l’a expérimenté une fois) : la roulette du dentiste, par exemple…
Adulte, l’hygiène peut devenir plus agréable car associée à certains bénéfices propres (détente, fraîcheur, réveil…) mais elle peut également se faire pour éviter la honte ou le rejet social ! Qui a envie de s’entendre dire « tu pues » ou se faire éviter discrètement ?
Ainsi, les émotions personnelles et sociales sont un facteur beaucoup plus puissant que la simple raison pour réguler un comportement.
Ton PC pue de la gueule !
Et si nos PC, smartphones, tablettes et autres extensions de nous-mêmes nous faisaient ressentir ces mêmes émotions, notre hygiène virtuelle s’en trouverait-elle améliorée ?
La majorité des incitations à la cybersécurité relève aujourd’hui du devoir de raison : la répétition régulière d’injonctions sécuritaires par les responsables informatiques, difficile à contredire mais aussi motivante que la lecture d’une notice de médicament… Dans certaines entreprises plus avancées, la raison s’assortit d’une obligation : si vous ne changez pas votre mot de passe, votre accès à Internet ou à vos emails est bloqué. Pas le choix !
Parmi le champ des émotions explorées, il y en a une largement dominante : la peur. Une peur collective et irraisonnée, qui rapportée à l’expérience individuelle, au-delà du moment où l’information est reçue (généralement via les médias), ne provoque finalement que très peu de changements de comportements. Un peu comme la sécurité routière, finalement. Alors est-ce la bonne émotion ?
Pourquoi ne pas explorer le champ des émotions plus intimes ou plus sociales, celles qui régissent les relations des gens entre eux plutôt qu’une émotion collective opposant l’individu à des entités anonymes, distantes et inconnues (les pirates informatiques) ?
La honte, et la récompense, me semblent ouvrir des champs d’expérimentation intéressants, et certainement beaucoup plus amusants pour les informaticiens ingénieux qui auraient envie de s’y coller :
Quid d’un ordinateur qui pue si votre mot de passe n’est pas changé à temps ? La mauvaise odeur s’amplifiant avec le délai (un peu comme vos vêtements en somme ?). Techniquement ça devrait être faisable, il suffit d’un petit programme connecté à un diffuseur d’odeurs (en voilà un petit objet connecté sympathique à développer J). Ca devrait mettre pas mal d’ambiance dans les open-spaces !
Dans le registre de la récompense, on peut imaginer tout un tas de mécanismes, de la diffusion de parfum, à un jingle musical sympa, à un message personnalisé, voire même mettre en place un processus de gamification associant des récompenses aux bonnes pratiques…
Entre l’éducation et le conditionnement, la frontière est délicate. Mais peut-être que la raison ne devient levier d’action qu’en passant par les émotions ?
Alors, messieurs-dames les informaticiens, à votre imagination : lâchez-vous… et éduquez-nous à la propreté de nos corps virtuels !
1 réflexion au sujet de « Cybersécurité : et moi et moi et moi? »