Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Forum Eurosec : Mme Michu a-t-elle sa place dans l’univers de la sécurité ?

septembre 2008 par Emmanuelle Lamandé

Vouloir impliquer Mme Michu dans la sécurité est-il bien raisonnable ? Nous serions tentés de répondre par la négative mais avons-nous vraiment le choix… Reste alors à le faire de manière intelligente et itérative, surtout quand l’on sait que nous sommes tous, en tant qu’humains, frappés par l’effet Ebbinghaus ! Alain Bernard, Natixis, animait une table ronde sur le thème à l’occasion du forum Eurosec, organisé par Devoteam Consulting.

Eric Barbry, Avocat, Cabinet Bensoussan, s’est attaché au concept d’identité et de désidentité numérique. Il s’agit, aujourd’hui, de trouver un équilibre entre la sécurité et la vie privée, dans une société où la notion d’identité se décuple et celle d’anonymat se généralise. Il existe, selon lui, un décalage fondamental entre le droit à l’identité et les technologies qui sont de plus en plus présentes. L’anonymat devient une obsession. Tout le monde veut dire ce qu’il pense mais de manière cachée. L’identité dans le monde virtuel est très différente du monde réel. D’ailleurs, à l’heure actuelle, il n’existe pas de cadre juridique stable sur la notion d’identité numérique. Notre identité dans le monde virtuel est sollicitée quasi quotidiennement, voire plusieurs fois par jour, alors que dans la vie réelle, les cas restent relativement rares. Toute personne qui va se connecter au système d’information va, en effet, manipuler son identité. De plus, le nombre d’identités se multiplie puisque nous pouvons virtuellement nous créer de nouvelles identités, de nouveaux profils, voire même de nouvelles vies (ex : second life,…). Sur Internet, les droits sont foncièrement différents : vous pouvez être anonyme, ou encore vous faire oublier. Les informations se doivent, en outre, d’être réversibles. C’est pourquoi raisonner sur l’identité numérique comme sur l’identité classique conduirait à l’échec. Dans ce monde virtuel où nous oscillons régulièrement entre l’identité multiple et l’anonymat, quelle est notre conscience de la sécurité ?

L’effet Ebbinghaus ou notre incroyable capacité d’oubli

John O’Leary, CISSP, Président de O’Leary Management Education, s’est interrogé sur ce sujet et nous présente la théorie d’Hermann Ebbinghaus (1850-1909), psychologue allemand qui a publié en 1885 la première analyse expérimentale de la mémoire. Pour comprendre le fonctionnement de celle-ci, il apprend des listes de syllabes sans signification. Il teste ensuite sa mémoire à différents intervalles de temps. Il constate alors que la perte des informations est d’abord très rapide puis ralentit au fur et à mesure que le temps passe. C’est ainsi qu’il démontrera dans le cadre de cette étude que plus de la moitié de son assistance oublient les syllabes sans signification au bout d’une heure. Les 2/3 environ les oublient en 1 jour, presque les ¾ en 2 jours et environ 4/5 en un mois.

Adaptez le message à votre cible

Sachant cela, quelle pertinence aura la sensibilisation des utilisateurs à la sécurité ? Ils oublieront… cela ne signifie pas pour autant qu’ils sont stupides et paresseux, ou qu’ils n’essaient pas de retenir le message. Ils sont juste humains ! Dans ce contexte, il est fondamental d’adapter le message à la population ciblée, de l’imager de manière à ce qu’il prenne sens. N’hésitez pas à jouer sur les formes, les couleurs et les illustrations. Leur perception de la sécurité est bien différente de celle des experts du domaine. Elle ne paraît malheureusement pas suffisamment importante à leurs yeux pour être retenue. Les points importants peuvent se perdre dans un trop gros volume d’informations. D’où l’importance de mettre en avant les éléments fondamentaux. Deux questions sont essentielles : qui ciblez-vous ? A quelle fréquence est-il nécessaire d’exposer cette population au message ? Plus importante est la fréquence, plus grande est la chance que votre auditoire s’en souvienne. Réitérez donc le message régulièrement et ne lésinez pas sur les moyens d’attractions (jeux, concours,…). Mais malgré tout, rien ne vous garantira le résultat…

Jean-Marc Bost, responsable de la division sécurité chez ELCA, nous avait présenté l’an dernier une attaque Man In The Middle capable de détourner les transactions en ligne. Face à ce type de menace, Jean-Marc Bost nous paraissait toutefois optimiste puisque deux solutions apparaissaient alors viables : la signature de transaction ou encore la validation par un canal indépendant. En un an, ces solutions se sont malheureusement avérées vulnérables. Alors que faire ? Est-il bien raisonnable de vouloir impliquer Mme Michu dans la sécurité ? Surtout après ce que vient de nous dévoiler John O’Leary… Pour lui, nous n’avons pas vraiment le choix et il existe sûrement des manières intelligentes d’impliquer les internautes. Reste à savoir lesquelles…




Voir les articles précédents

    

Voir les articles suivants