Les utilisateurs à la limite du « burn out » sécuritaire

Trop de sécurité, tue-t-elle la sécurité ? Etre trop souvent informé sur les risques de sécurité ou trop fréquemment sollicité par les services en ligne pourrait être contre-productif. C’est du moins ce que suggèrent les résultats d’une étude que le National Institute of Standards and Technology (NIST) a mené auprès de 107 participants américains âgés de 20 à 60 ans, vivants dans des zones rurales comme urbaines et travaillant dans une grande variété de secteurs.

Fatigue sécuritaire

Le NIST a par exemple demandé aux utilisateurs s’ils avaient tendance à utiliser le même mot de passe lors d’une énième mise à jour d’un compte, ou s’ils leur arrivaient d’abandonner un achat en ligne au moment de la création d’un compte utilisateur. Des comportements propres à une certaine « fatigue sécuritaire » (security fatigue, terme qui donne d’ailleurs son titre à l’étude). Et il s’avère « qu’une majorité des interviewés familiers des ordinateurs expriment une fatigue sécuritaire qui les conduit souvent à un comportement informatique risqué au bureau et dans leur vie personnelle », souligne l’institut.

Il est intéressant de noter qu’à l’origine, l’étude portait sur les usages en ligne, personnels et professionnels, autour du commerce comme de la banque, en plus de la sécurité informatique, la terminologie propre à la sécurité ainsi que ses outils. L’angle de la fatigue ou de la réticence des utilisateurs à adopter une attitude sécurité est remonté au fil de l’étude. « Nous n’étions même pas à la recherche de la fatigue dans nos entretiens, mais nous avons eu ce sentiment écrasant de lassitude dans l’ensemble des données », indique Mary Theofanos, informaticienne et co-auteur de l’étude. Une attitude préoccupante. « Si les gens ne se tournent pas vers la sécurité, notre nation ne sera pas sécurisée », s’alarme Brian Stanton, psychologue cognitif et co-auteur des travaux du Nist. Les utilisateurs tendent ainsi à retenir l’option la plus facile, à prendre des décisions influencées par des motivations immédiates, à agir impulsivement voire à ne pas prendre de décision, et ne suivent pas les règles de sécurité, selon le chercheur.

30 mots de passe à retenir

Il faut dire que les utilisateurs sont de plus en plus sollicités. « Quelques années auparavant, vous aviez un mot de passe à retenir pour le travail. Aujourd’hui, on demande aux gens d’en retenir 25 ou 30., note Mary Theofanos. Nous n’avons pas vraiment réfléchi à l’expansion de la cybersécurité et ses conséquences pour les utilisateurs. » D’ailleurs, la plupart des sondés déclarent ne pas comprendre pourquoi ils se feraient attaqué alors que leurs données n’auraient aucun intérêt pour les cybercriminels. Qui plus est, ils estiment que la sécurité devrait être du ressort des fournisseurs de services, banque en ligne, sites de e-commerce ou autre organe plus expérimenté en la matière. Enfin, ils ne voient pas comment ils pourraient réussir à se protéger quand même les grandes entreprises n’y parviennent pas.

Néanmoins, les données issues de l’étude permettent au Nist de dégager des pistes de réflexion pour réduire les comportements à risques. Et propose ainsi de limiter le nombre de décisions que les utilisateurs doivent prendre en matière de sécurité, proposer des choix simples et concevoir des prises de décisions cohérentes chaque fois que possible. Autant de travaux que l’institut devrait entreprendre dans une approche pluridisciplinaire où experts en sécurité, psychologues, sociologues et anthropologues travailleraient ensemble pour améliorer les questions de sécurité informatique et mieux appréhender cette hypothétique fatigue sécuritaire.

Lire également
L’Europe se mobilise pour la cybersécurité
Un outil pour vérifier que votre webcam n’est pas détournée
Cédric Villani : « La cybersécurité et les mathématiques travaillent sur l’inconnu »