Ces temps-ci, j’aime bien parler de l’humanisation de la cybersécurité, mais je suis réaliste que cette terminologie ne parle qu’à très peu de personnes. En fait, je suis persuadé qu’une grande majorité d’entre vous se demande sûrement « de quoi il parle? » et une autre partie associe le tout aux facteurs humains typiques dans le monde de la sensibilisation à la cybersécurité aussi appelée la gestion du risque [causé par] humain.
Pour ma part je considère qu’il y a plusieurs volets à l’humanisation de la cybersécurité et j’expliquerais mon point de vue au fil de mes inspirations.
Aujourd’hui, je désire m’attarder au processus d’apprentissage qui engendre des changements de conscience chez l’humain. J’ai appris ce processus dans un tout autre contexte, mais il exprime bien ma pensée.
Étape 1. Inconscient et incompétent
J’entends déjà votre jugement: « est-il en train de me traiter d’incompétent? » Eh bien oui! Ce passage est obligatoire pour chaque apprentissage, que ce soit pour apprendre une nouvelle langue, conduire une automobile, une nouvelle danse ou encore pour apprendre un principe de cybersécurité. En d’autres mots, à cette étape, « on ne sait pas qu’on ne sait pas« . Ici, on agit sur le pilote automatique et la vie est belle. On reçoit un courriel, on l’ouvre, on clique et nous sommes victimes. Et vous savez quoi? Suivre un beau programme de sensibilisation ne veut pas dire qu’on a acquis de la conscience. Je crois malheureusement que la majorité des gens reste dans cette étape avec nos approches traditionnelles en sensibilisation, et ce, tant qu’il n’y a pas eu de prise de conscience.
Étape 2. Conscient et incompétent
Il est difficile pour notre égo de constater que nous nous sommes arnaqué, car nous avons cliqué sur un lien dans un simple courriel. C’est l’étape frustrante du « Je sais que je ne sais pas« . Pour ma part, j’ai souvent cette même sensation lorsque j’apprends une nouvelle figure de salsa ou une leçon d’anglais et que je n’arrive pas à l’appliquer par la suite. Cette étape est toutefois primordiale pour une prise de conscience qui sera importante dans l’apprentissage.
Maintenant, si une personne rejette le blâme de s’être fait frauder sur une cause extérieure à elle-même, par exemple en mentionnant « C’est la faute de la banque qui ne m’a pas protégé » (ce qui arrive très souvent, car notre égo n’aime pas se sentir menacé). Il n’y aura pas de prise de conscience ni de prise de compétence.
Ici, il faudra du temps et de la répétition pour vraiment permettre d’assimiler le tout. C’est aussi ici qu’on doit comprendre, en tant que spécialistes en cybersécurité, que nous parlons à des humains qui ont des émotions et qu’humaniser la cybersécurité prend tout son sens. C’est pourquoi. soit dit en passant, que je n’adhère pas aux mesures coercitives qui vont selon moi que pousser à nouveau la personne vers l’étape de l’inconscient et incompétent (soit l’étape 1).
Étape 3. Conscient et compétent
À force de répétitions et de temps, nous prenons tranquillement confiance en nos moyens. C’est l’étape du « Je sais que je sais, mais j’ai encore besoin d’y penser pour l’appliquer ». C’est ici qu’on devient vraiment de plus en plus vigilant face aux différents enjeux de la cybersécurité pour lequel nous avons développé de la conscience et de la compétence. Mais comme vous pouvez maintenant le constater, ce n’est pas parce que vous êtes aptes à choisir un mot de passe sécuritaire que vous avez aussi compris le concept de ne pas répliquer son mot de passe un peu partout ! Vous avez compris le principe? C’est un autre apprentissage avec ses étapes.
Étape 4. Inconscient et compétent
Cette étape est le « j’applique ce que je sais sans même y penser ». L’apprentissage est vraiment rendu une seconde nature. En d’autres mots, c’est le moment de la maitrise. Nous sommes sur le pilote automatique, mais contrairement à l’étape 1, cette fois en ayant développé une véritable compétence. Pour l’image, c’est exactement comme conduire un véhicule manuel, dans une pente en plein trafic et en buvant un café tout en parlant au passager.
Nous visons tous une culture de cybersécurité ayant un niveau de maturité élevé pour nos organisations. La fameuse phrase « La sécurité de l’information est l’affaire de tous ! » est utilisée depuis plus de vingt ans, mais derrière cette simple phrase se cache une réalité beaucoup plus complexe permettant d’adresser ce changement de culture. La mise en place d’un simple programme de sensibilisation avec ou sans formations en ligne n’est pas suffisant pour y arriver.
Et maintenant?
Observez vos proches, collèges et amis face à leur niveau de compréhension aux enjeux de la cybersécurité. Avec ces étapes en tête, il est clair pour moi que nous ne sommes pas tous rendus à la même étape dans nos apprentissages et c’est parfaitement normal ! Est-il possible d’adapter notre façon de faire en gestion du risque humain en tenant compte des besoins humains de chacune des phases de leur apprentissage ? J’en suis persuadé!
Et vous, qu’en pensez-vous?
Qui suis-je?
Mon nom est Stéphane Laberge, je suis consultant et j’oeuvre dans le domaine de la cybersécurité depuis plus de 20 ans. Je m’efforce de promouvoir de véritables prises de conscience humaine face aux différents enjeux de la cybersécurité.
Donc Socrate disais « je sais que je ne sais pas » mais il était inconsciemment compétent vu qu’il ne savait pas qu’il ne savait pas qu’il venait de poser les bases d’une sagesse qui se poursuivit après lui. Heureux de voir qu’on est plusieurs à raisonner en termes de conscience et d’informatique 😉