Rupture du contrat psychologique et pouvoir de la culture de la sécurité

Cet article à été rédigé par Martin Kraemer, expert de la sensibilisation à la sécurité chez KnowBe4.

Au sein des organisations, les collaborateurs sont censés adopter un comportement sécurisé, une notion généralement définie dans une multitude de politiques de sécurité. Pourtant, les individus ne respectent pas toujours ces politiques ni n’utilisent les outils mis à leur disposition. Selon une étude de Gartner, 69 % des collaborateurs contournent intentionnellement les directives de cybersécurité, et 93 % adoptent délibérément un comportement non sécurisé lorsqu’ils y sont contraints.

La réponse présumée à ce défi évoque souvent un manque de sensibilisation ou de mesures coercitives. Une autre observation a attiré l’attention : les personnes se sentant peu intégrées à leur entreprise sont plus susceptibles d’être victimes d’ingénierie sociale. Cela a poussé une équipe de chercheurs de l’Université de Warwick à approfondir le sujet.

La motivation à se conformer à une politique de sécurité est souvent perçue comme un accord tacite entre l’organisation et ses équipes. En contrepartie, ces dernières bénéficient d’avantages et de privilèges. Tant qu’ils estiment que cet accord est respecté (ex. : horaires flexibles, primes, fête de Noël), un respect mutuel s’installe. Chacune des parties suit les règles écrites et tacites de la relation de travail.

Cependant, au fil du temps, d’autres attentes apparaissent, telles que la possibilité de télétravailler un mardi matin pour déposer les enfants à l’école. Lorsque ces attentes ne sont pas satisfaites, certains peuvent devenir insatisfaits, voire frustrés. C’est là que la situation devient complexe, car le respect des accords implicites et silencieux est par nature difficile.

La rupture du contrat psychologique (RCP) peut entraîner une non-conformité par le biais d’attentes non satisfaites et de ressentiment. Les chercheurs de l’Université de Warwick ont étudié l’effet de la RCP sur l’intention de se conformer aux politiques de sécurité de l’information (ICI). Ils ont pris en compte la motivation intrinsèque (attitudes, auto-efficacité, perception d’équité) et la motivation extrinsèque (normes sociales, sévérité et certitude des sanctions).

Les résultats sont révélateurs : 

Plus la RCP est élevée, plus l’ICI est faible. La RCP a un effet négatif sur l’attitude et la perception d’équité (motivation intrinsèque), mais n’a pas d’impact sur la sévérité et la certitude des sanctions (motivation extrinsèque). Les personnes fortement affectées par une RCP sont plus difficiles à former ou à encadrer, car elles manquent de motivation intrinsèque. La RCP ouvre la boîte de Pandore de l’ingénierie sociale, en alimentant des croyances négatives à l’égard de l’organisation.

Les organisations dotées d’un bon leadership et d’une culture de sécurité bien ancrée réduisent les effets de la RCP en cherchant à honorer les engagements psychologiques vis-à-vis de leurs équipes,et en améliorant leur attitude vis-à-vis de la conformité aux politiques de sécurité.

• Favoriser la communication ouverte et la confiance : instaurer la confiance envers lesmanagers et clarifier les obligations spécifiques liées au contenu du poste, au développement de carrière, aux politiques organisationnelles, au leadership, aux relations sociales, à l’équilibre vie professionnelle/vie personnelle, à la sécurité de l’emploi et aux récompenses.
• Renforcer l’autonomisation par le soutien et l’interaction : encourager une forte interaction sociale, le sentiment de soutien organisationnel et la confiance.
• Adopter un management persuasif : privilégier un style de gestion persuasif plutôt qu’autoritaire.
• Traiter les perceptions d’injustice : identifier les raisons pour lesquelles les exigences des politiques de sécurité de l’information (ISP) sont perçues comme injustes.
• Instaurer une culture de cybersécurité robuste : développer une culture de cybersécurité pour limiter les comportements induits par une RCP élevée.
• Investir dans la transformation culturelle : s’engager dans des initiatives visant à transformer la culture organisationnelle.

Un comportement sécurisé repose sur la disponibilité d’outils faciles à utiliser, un cadre politique définissant les lignes directrices du comportement attendu, et une motivation intrinsèque à contribuer à la sécurité de l’organisation. En d’autres termes, les bons programmes de sécurité sont holistiques : ils rassemblent les individus, les processus et la technologie pour protéger l’organisation.

La culture de sécurité est la solution pour les entreprises. C’est le résultat intangible d’un état d’esprit sain en cybersécurité, qui contribue à protéger l’organisation, ce que chacun fait quand personne ne regarde. Une bonne culture signifie que les collaborateurs sont autonomes, s’engagent dans la cybersécurité, et considèrent la sécurité comme leur responsabilité. Les organisations disposant d’une culture de sécurité saine sont moins susceptibles d’être victimes d’attaques de type phishing, car leurs utilisateurs adoptent un comportement plus sécurisé. Une bonne culture favorise les comportements sécurisés.