Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Nudge : le petit « coup de pouce » qu’il manque à la cybersécurité ?

février 2018 par Emmanuelle Lamandé

Quels liens existent-ils entre les sciences cognitives et la cybersécurité ? En quoi les sciences comportementales et les nudges peuvent-ils réussir aujourd’hui là où de nombreuses politiques de sécurité ont échoué ? A l’occasion du Forum international de la cybersécurité, Gilles Favier, Encelis, nous livre quelques clés visant à améliorer les comportements des utilisateurs, encore reconnus par beaucoup comme les principaux « maillons faibles » de la cybersécurité.

Bien que les choix des individus soient souvent irrationnels, ils restent tout de même globalement prévisibles. En effet, nos décisions sont influencées au quotidien par notre environnement, certains biais cognitifs, mais aussi les normes sociales. Cela explique en partie pourquoi, bien que nous ayons parfois l’intention de faire quelque chose, nous agissons différemment dans les faits. Le concept de « nudge », ou « coup de pouce » en français, se base sur ce principe.

Ce concept, issu des sciences cognitives, doit principalement sa popularité à Richard Thaler, Chercheur en psychologie comportementale, et Cass Sunstein, Professeur à l’université de droit de Harvard. Cette approche vise à « pousser » les hommes à prendre des décisions et adopter des comportements qui améliorent leur vie sans attenter à la liberté des autres. Pour ce faire, elle se base sur des « nudges », c’est-à-dire d’infimes modifications de notre environnement qui auront un impact sur nos comportements.

Les nudges sont aujourd’hui partout, sans que nous en ayons forcément conscience

Les nudges sont aujourd’hui utilisés dans de nombreux domaines (environnement, transport, politique, santé, sécurité…), sans que nous en ayons forcément conscience.

Célèbre exemple de nudge ayant fait ses preuves dans les toilettes de l’aéroport d’Amsterdam Schipol : l’image d’une mouche collée au fond des urinoirs. Les responsables de l’aéroport ont eu cette idée afin d’inciter les hommes à viser la mouche, et ainsi réduire les coûts de nettoyage et améliorer la propreté des sanitaires. Plutôt surprenant, mais particulièrement efficace !

Autre exemple dans le domaine environnemental : l’Agence européenne de l’environnement a mené une expérience dans différents pays, avec comme objectif d’amener les ménages à réduire leur consommation énergétique.
Ils ont testé dans un premier temps une campagne de sensibilisation. Le problème est que la sensibilisation est efficace, mais seulement pendant le temps de la campagne. Après, les gens reprennent très rapidement leurs mauvaises habitudes.
Lors de cette expérience, d’autres pistes ont également été explorées, comme l’offre de cadeaux (places de cinéma…) en échange d’une réduction de la consommation énergétique. Bien que cela attire certaines personnes, cette technique ne s’avère pas efficiente sur le long terme. En effet, si les éléments ne sont pas corrélés entre eux, les gens ne changent pas leurs habitudes.

Le feed-back : la clé du changement de comportements

Qu’est-ce qui marche alors ? La technique du feed-back fonctionne relativement bien, explique Gilles Favier. Dans ce cas précis de démarche environnementale, l’objectif sera d’envoyer de manière régulière à chaque ménage un relevé personnalisé de sa consommation énergétique. Chacun d’entre eux aura également un aperçu de la consommation de son voisinage, avec le classement associé allant du plus économe au moins économe en énergie, mais sans aucun jugement ni pénalité. Cette comparaison avec le voisinage, qui représente aussi le groupe social d’un ménage, aura un impact sur le comportement futur de celui-ci. En effet, cette approche crée de manière implicite une « compétition » entre voisins. Et, au sein d’un groupe social, personne ne veut être le dernier ou le plus mauvais. C’est pourquoi ce système fonctionne, y compris dans la durée.

Cela est d’ailleurs valable dans tous les domaines et peut tout à fait être adapté à la cybersécurité, par exemple en ce qui concerne les mises à jour de sécurité. Une entreprise peut très bien imaginer établir le même genre de classement, non plus concernant la consommation énergétique, mais le nombre de serveurs ou de postes ayant effectué leurs mises à jour de sécurité. Et au lieu du voisinage, le feed-back peut se faire en fonction des différents services de l’entreprise (marketing, juridique…), mettant en exergue les différents niveaux de mises à jour des uns et des autres. D’autres liens sont tout à fait possibles entre les nudges et la cybersécurité, comme avec les politiques de mots de passe entre autres.

Donner aux utilisateurs une conscience de leurs actions, sans les juger pour autant

Les sciences cognitives visent à comprendre le fonctionnement de l’esprit et de l’intelligence. Elles permettent ainsi de changer de paradigme et donnent certains outils nécessaires au dépassement des limites existantes. L’objectif est d’aller chercher les outils qui permettront de repenser la cybersécurité en y intégrant le facteur comportemental des individus.

Cette démarche vise, en outre, à donner aux utilisateurs une conscience de leurs actions. Toutefois, il est important de ne pas citer et pointer du doigt les mauvais élèves : ce serait contre-productif. En effet, pour que ce système fonctionne, il ne faut pas juger les participants (ni récompense, ni menace), il faut juste être factuel et donner des résultats sans aucun jugement. Enfin, il recommande également aux entreprises de mettre l’accent sur les opportunités apportées par la cybersécurité plutôt que de se cantonner uniquement sur les risques directs.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants