C’est le mois de la cybersécurité, et nous qui travaillons dans la bulle de la sécurité informatique essayons de motiver pendant un mois les utilisatrices et utilisateurs à adopter un comportement sûr de façon plus appuyée que d’habitude. C’est une bonne chose, mais cela ne suffit pas. Bien qu’il soit qualifié de risque majeur pour la sécurité, le «facteur humain» est rarement traité de manière efficace.
Selon le document Verizon Data Breach Investigations Report rédigé en 2022, 84% des fuites de données ont été causées par des collaboratrices ou collaborateurs. Le secteur de la sécurité de l’information s’est tellement professionnalisé qu’il est désormais beaucoup plus simple de pirater des personnes plutôt que des systèmes informatiques. Nous avons donc non seulement besoin de spécialistes capables de sécuriser les systèmes, mais également de spécialistes dont l’activité méthodologique consiste à sensibiliser les gens, à leur transmettre des connaissances, à changer leur attitude et, dans le meilleur des cas, à modifier leur comportement.
Cette activité est interdisciplinaire: elle se fonde sur la psychologie, la pédagogie, la communication et le marketing. Toutefois, 72% des responsables de la sensibilisation à la sécurité informatique ont un parcours professionnel purement technique et n’ont acquis que des connaissances limitées dans ces secteurs spécialisés (SANS Security Awareness Report 2022). Faisant partie des 28% restants, j’ai compilé quatre principes pratiques qui ont fait leurs preuves au cours de mes 15 années d’expérience dans la communication.
Quelle est ma cible? De nombreux termes ont des significations légèrement différentes en marketing et en communication: groupes cibles, parties prenantes, groupes d’intérêt, etc. En termes simples: à qui est-ce que je m’adresse? Généralement à plus d’un groupe, dont les membres proviennent d’horizons très différents.
Avant d’établir un plan d’action, je réfléchis à la personne précise à qui je veux donner des informations, à la manière de motiver mon contact en vue d’une action, ou encore à la façon de l’inciter à un changement de comportement sur le long terme. En règle générale, chaque groupe est abordé différemment afin de communiquer au mieux les messages de façon à ce qu’ils soient compris et également acceptés.
Autrement dit: l’appât doit plaire au poisson. Si pour pêcher, j’utilise un leurre médiocre plutôt qu’un ver bien gras, le poisson n’en aura rien à faire. Purement et simplement, il ne mordra pas à l’hameçon. Évidemment, le plus simple est alors de mettre en cause le poisson, car cette stupide bestiole se contente de passer à côté. En fin de compte, c’est moi qui veux quelque chose du poisson. Il m’est donc utile de réfléchir à ses préférences alimentaires.
Des méthodes professionnelles élaborées permettent de définir quel appât convient à quel poisson. Une recette simple: se présenter à une personne dont je connais le parcours et le quotidien. Plus c’est concret, mieux c’est.
Une nouvelle directive n’est pas une raison motivante pour changer son comportement. La directive n’est pas mise en œuvre pour elle-même, mais dans le but véritable de protéger l’organisation, à savoir le cœur de métier.
Pourquoi votre cœur de métier est-il important? Comment les effectifs changent-ils le monde à petite échelle? Quels problèmes résolvent-ils en tant qu’organisation? Dans une culture d’entreprise positive, les collaboratrices et collaborateurs éprouvent de la fierté à contribuer – même de façon minime – au grand ensemble et considèrent leur travail comme utile. Si la nouvelle directive de sécurité découle de ce «pourquoi», elle peut plutôt être considérée comme une partie du travail, du grand ensemble. Par conséquent, les chances qu’elle soit mise en œuvre sont plus nombreuses.
Simon Sinek, auteur du classique du marketing «Start With Why», le décrit dans son Ted Talk «How great leaders inspire action». Il appelle ce concept le Golden Circle. Il commence par le cœur et communique vers l’extérieur: pourquoi, comment, quoi. Une recette simple dont nous pouvons nous servir comme guide.
Je ne parle pas ici d’anglais, d’allemand ou de français, mais de la langue en tant que base de notre communication, de notre culture et de notre identité. Les jeunes lors d’une fête, les spécialistes dans les groupes de recherche ou encore les hommes et femmes politiques au Conseil fédéral parlent peut-être toutes et tous français, mais avec un autre son, d’autres gestes et d’autres termes. C’est la langue qui nous permet de nous définir comme faisant partie d’un groupe ou d’une culture. La manière dont nous parlons à une certaine personne se fait généralement de manière subconsciente et répond au besoin fondamental d’appartenance.
Chaque organisation a sa propre langue, sa propre culture, son propre «nous». Est-ce que vous vouvoyez vos collaboratrices et collaborateurs? Combien de termes employés dans votre entreprise n’ont aucune signification pour les personnes extérieures? Utilisez-vous l’humour ou vos messages sont-ils plutôt sérieux et circonstanciés? La structure hiérarchique est-elle bien ordonnée ou est-il convenable de s’adresser directement aux cadres? De cela dépend précisément la façon dont nous enveloppons les messages dans la langue pour qu’ils soient reçus et entendus.
Si vous faisiez partie d’une entreprise très conservatrice, vous ne commenceriez très probablement pas par une note d’humour un message Intranet sur les règles adaptées en matière de mots de passe et vous n’ajouteriez pas non plus un mème amusant pour attirer l’attention. Vous rédigeriez plutôt un texte circonstancié contenant peu de points d’exclamation.
«Mais pourquoi ce n’est toujours pas fait? Nous avons pourtant déjà envoyé 2 e-mails sur le sujet et il existe un module d’e-learning et les tests qui s’y rapportent!» La recherche comportementale aurait bien une explication ou deux. Un champ interdisciplinaire passionnant qui ne fait pas partie de mon domaine de spécialisation. Je m’y risque tout de même dans une perspective de communication.
Les personnes qui mettent en place des campagnes et les mènent de manière professionnelle le savent: changer les comportements est un exercice libre absolu et nécessite un nombre de ressources et d’heures incroyables. Regardez l’exemple très classique de l’introduction de la ceinture de sécurité. Il a fallu des années de campagnes rondement financées et une loi pour convaincre les automobilistes d’adopter un comportement plus sûr. Dans cet exemple, il était même question de leur propre vie. Plusieurs étapes rythment le long chemin qui mène au changement de comportement. Pour faire simple:
Et enfin: même si nous devrions le savoir, nous faisons parfois preuve de paresse et manquons de cohérence. Combien de fois buvez-vous un coca ou une deuxième bière alors que vous vouliez initialement faire attention à votre santé cette semaine? Une seule solution à cela: la compréhension – ou rendre l’appât encore plus appétissant.