![Et si la [sensibilisation cyber] devenait efficace grâce aux sciences comportementales ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-2160x735.jpg)
Et si la sensibilisation cyber devenait efficace grâce aux sciences comportementales ?
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Des heures à former et à sensibiliser des collaborateurs pour qu’ils renseignent leur mot de passe au 1er mail de phishing ? Et si on revoyait un peu notre manière de faire ?
En tant qu’experts en cyber, nous avons déjà tous été confrontés aux difficultés pour que les collaborateurs appliquent les bons gestes partagés lors des initiatives de sensibilisation. Certains, après des années d’actions, ne voient jamais la situation évoluer et arrivent même à se dire que la sensibilisation est une perte de temps et d’argent. Et si ce n’était pas la sensibilisation qu’il fallait remettre en cause, mais la manière de la faire ?
En bout de chaîne de la sécurité, il y a plus qu’un bout de code logique. Il y a un humain, pour qui avoir la bonne information n’est pas suffisant pour avoir le bon comportement. Même si c’est pour sa propre sécurité, ou celle de son organisation. Bien que toutes les entreprises n’aient malheureusement pas encore pris conscience du risque, principalement les plus petites, une sensibilisation est réalisée pour une majorité d’entre elles. Quels que soient le format ou les outils utilisés, les consignes de sécurité sont présentées, tout comme les types d’attaque. On peut largement supposer que chacun à l’intention de les appliquer, en tous les cas de ne pas tomber dans les pièges qui leur sont tendus… Pourtant, d’après le DBIR 2023 de Verizon, 74% des compromissions impliquent le facteur humain (ingénierie sociale, erreurs, abus, …). L’objectif de la sensibilisation ne doit donc pas être de passer l’information mais de changer les comportements. Trop de formations, et pas seulement en cyber, peinent à changer les comportements. Elles sont, dès lors, une perte de temps et d’argent pour tout le monde. Bien évidemment l’impact d’une sensibilisation est fortement lié à la manière dont elle a été réfléchie et préparée pour répondre aux réels risques de l’entreprise, aux besoins des employés, et surtout aux comportements à changer.
C’est ici que les sciences comportementales entrent en jeu et peuvent apporter des éléments de réponse supplémentaires à l’insuffisante efficacité des sensibilisations. Déclencher une intention n’est pas suffisant pour engendrer un comportement. Nous sommes des êtres humains, influencés par nos émotions, nos habitudes, les autres et notre environnement physique. Notre capacité à prêter attention est beaucoup plus limitée que nous ne le pensons et nous prenons la majeure partie de nos décisions avec notre système 1 (prise de décision de notre cerveau automatique, rapide, inconscient, sans effort), alors que les formations s’adressent le plus souvent à notre système 2 (fonctionnement de notre cerveau ponctuel, lourd, conscient, lent, qui demande des efforts, des calculs).
Trois clefs des sciences comportementales pour favoriser l’apprentissage des collaborateurs de l’entreprise
Prenez le temps de changer : 8 fois 1 heure plutôt qu’1 fois 8 heures
L’effet d’espacement ou apprentissage distribué est un concept clé. A temps de sensibilisation égal, espacer les moments d’apprentissage permet de gagner en efficacité de mémorisation et de restitution. Autrement dit, en espaçant les moments de sensibilisation, il est possible de diminuer les efforts d’apprentissage pour obtenir un même résultat ! Les répétitions et les rappels permettent de lutter contre la courbe de l’oubli. Les commerciaux B2B oublient 70 % des informations qu’ils ont apprises dans la semaine qui suit leur formation, et 87 % dans le mois qui suit (Bryan, 2019). Favorisez donc des solutions de micro-learning qui proposeront des modules courts (3 à 5 minutes maximum) et qui sont répartis dans le temps.
Remémorez les changements : quiz apprenants, répétés et personnalisés
Lorsque les participants fournissent un effort pour retrouver les informations qu’ils ont apprises, cela contribue à leur mémorisation. Cela est connu sous le nom d’effet-test. Si vous consacrez 10 minutes à l’apprentissage d’un texte, il est optimal de le lire pendant 4 minutes et d’essayer de vous rappeler ce que vous avez lu pendant le reste du temps. En procédant ainsi, vous retiendrez 30 % d’informations en plus que si vous aviez simplement passé 10 minutes à le lire (Gates, 1917). Pour exploiter l’effet test dans la cadre des sensibilisations cyber, une solution consiste à proposer une activité à la fin de chaque phase d’apprentissage. Qu’il s’agisse d’un quizz, d’un jeu, de flash cards ou d’autres activités ludiques que peuvent proposer aujourd’hui les plateformes de sensibilisation ou de LMS (learning management system), ces derniers n’ont pour objet que d’aider à apprendre, et en aucun cas d’évaluer le participant à la formation. Il est alors possible de répéter et de diversifier ces activités dans la durée, et de les présenter plusieurs fois, tout au long de la sensibilisation, espacée dans le temps, la répétition renforçant l’appropriation des connaissances. Ces activités apprenantes peuvent également être personnalisées pour adapter la répétition, selon les réponses données par le participant. Plus il répond juste, moins d’activités lui sont proposées. On parle alors d’apprentissage adaptatif.
Soutenez les nouveaux comportements après la formation
Pour changer les comportements, la formation doit être construite comme un process et non comme un évènement. La manière dont la formation est construite doit refléter cette réalité. Une étude récente a révélé qu’en moyenne, les entreprises ne consacrent que 5 % de leur budget à la « formation post-événement », alors que les activités post-événement contribuent pour environ 50% à l’efficacité de l’apprentissage (Kirkpatrick & Kayser Kirkpatrick, 2009). Il est indispensable de corriger ce déséquilibre en planifiant des sessions de suivi pour que les participants puissent partager/discuter des expériences d’application de l’apprentissage dans leur travail quotidien. Il s’agit d’un excellent moyen de renforcer les nouveaux apprentissages et d’assurer l’adoption de nouvelles habitudes.
Comme le préconise Laszlo Bock, « n’investissez que dans des formations qui changent les comportements » (Bock, 2015).
Timoléon Timant – Fondateur de Je sensibilise / Etienne Bressoud – Deputy CEO chez BVA Nudge Consulting