“La plus grande faille, c'est l'humain”. Comme le souligne Christophe Ienzer, conseiller cybersécurité, la majorité des cyberattaques sont imputables à une erreur humaine. Le rapport 2023 Data Breach Investigations Report de Verizon a révélé que  74% de toutes les violations informatiques comprennent un élément humain, les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par l'utilisation d'informations d'identification volées, soit par ingénierie sociale.

Alors, comment former vos équipes au risque de violations de données ? Au-delà des formations classiques, les sciences cognitives et en particulier la psychologie peuvent vous aider. 

Voici 3 manières de sécuriser psychologiquement vos équipes pour réduire les cyberattaques. 

1- Adaptez vos exigences en matières de mot de passe : 

Des experts ont constaté que le fait d'exiger des combinaisons complexes de lettres, de chiffres et de symboles, ainsi que des changements fréquents, surcharge la mémoire des employés. Un effet contre productif puisque ceux-ci finissent par utiliser des mots de passe plus faibles et, même par les écrire. Demander aux travailleurs d'utiliser trois mots aléatoires est plus efficace pour la mémoire humaine et pour la sécurité. Le Centre national de cybersécurité du Royaume-Uni indique que les mots de passe de trois mots sont suffisamment longs et suffisamment forts pour la plupart des cas.

2 - Donnez du pouvoir aux équipes : 

On entend souvent cette formule : “la question n'est pas de savoir s'il y a une faille informatique, mais quand on sera attaqué.” Une manière de dire que la violation est inévitable et donc que nous sommes impuissants. Des psychologues assurent que dire cela peut faire plus de mal que de bien. C’est l'effet Pygmalion, un phénomène psychologique dans lequel le fait de fixer des attentes élevées conduit à des performances plus élevées, tandis que le fait de fixer des attentes faibles conduit à des résultats faibles. La formule retire tout contrôle à l’utilisateur. Or, qu'est-ce qui incite les utilisateurs à suivre les meilleures pratiques si on leur dit que cela n'aura pas nécessairement d'importance ? Au lieu de cela, donnez à chaque utilisateur le pouvoir et le contrôle en disant : vous êtes en capacité d'arrêter ces attaques.  Nous ne serons pas piratés parce que nous suivrons les bons processus. 

3 - Si une cyberattaque survient, parlez-en avec vos équipes

L’attaque est virtuelle mais son impact psychologique est tout à fait tangible et ce sur deux aspects. 

D’abord, on l’entend souvent : une cyberattaque nuit à la réputation d’une entreprise. En effet, la preuve d’une faille au sens propre du terme montre que la structure est faillible, au sens large du terme. Les conséquences économiques peuvent parfois être lourdes et un climat de panique peut s’installer. Une perte de confiance peut en découler chez les clients, les partenaires mais aussi les employés. Avec des craintes du type : mon entreprise est-elle sérieuse ? Que risque-t-on à entrer des informations dans nos serveurs ? À quoi bon m’engager dans mon travail ? Second aspect, ces attaques peuvent être très violentes. Parce qu’elles ont trait à une violation de données privées, elles ont un impact psychologique réel sur les personnes. Culpabilité, sentiment de perte d’intégrité, fébrilité, peur, repli sur soi : soyez attentifs aux signaux de détresse et engagez le dialogue avec vos équipes.