Les cyberattaques deviendront de plus en plus fréquentes au cours des années à venir. Cela ne concerne pas uniquement les grandes entreprises, les organisations et les gouvernements: toute personne utilisant les technologies modernes est une cible potentielle. Des chercheurs financés par l’UE ont mené une étude qualitative sur les éléments qui influencent le comportement des personnes vis-à-vis de la cybersécurité.

Économie numérique

Sécurité

La cybercriminalité est une préoccupation croissante à l’échelle mondiale. Les attaques deviennent de plus en plus élaborées au fur et à mesure de l’évolution des processus de transformation numérique et de la transition vers un avenir plus connecté. Les activités en ligne (de la banque en ligne au commerce électronique) sont en plein essor, ce qui entraîne une légère hausse des failles de sécurité. Les attaques de logiciels malveillants, c’est-à-dire les attaques par déni de service distribué qui perturbent le trafic normal d’un serveur ciblé ou les tentatives de hameçonnage employées dans le cadre des vols d’identité peuvent avoir des conséquences désastreuses pour les citoyens, les entreprises et les nations.

Les utilisateurs finaux représentent la première ligne de défense

L’impact croissant de la cybercriminalité sur le plan économique et social a forcé les organisations internationales, les entreprises et les universités à élaborer des stratégies pour répondre plus efficacement à ces attaques. Une série de travaux et de recherches se sont concentrés sur les aspects techniques, les mesures et les conséquences économiques de la cybercriminalité. «Malgré l’utilisation de systèmes de sécurité technique de pointe, les entreprises, les organisations et les personnes connaissent encore des failles de sécurité. Peu importe la qualité de la couche technique de sécurité et le type de contrôles et de contremesures techniques, la sécurité dépend du bon comportement des utilisateurs finaux. Alors que beaucoup reconnaissent l’importance des pratiques et des normes de sécurité sur Internet, d’autres font preuve d’un état d’esprit peu propice à la sécurité numérique et, par conséquent, ne manifestent pas les comportements appropriés en matière de protection», souligne le professeur Bertrand Venard, coordinateur du projet CYBERSECURITY, qui a reçu un financement dans le cadre du programme Marie Skłodowska-Curie.

Une analyse comparative croisée

Dans ce contexte, le projet CYBERSECURITY a été mis en place pour examiner les facteurs qui déterminent le comportement des personnes en matière de sécurité de l’information. L’équipe du projet a utilisé des méthodes de recherche qualitative par enquête et a mené une analyse comparative en France et au Royaume-Uni, en ciblant des étudiants dans différents types d’institutions et de domaines académiques, et de sexes différents. «Notre principale réalisation scientifique a été l’élaboration d’un modèle théorique pouvant expliquer le comportement vis-à-vis de la cybersécurité. À l’aide de différentes méthodes de recherche (entretiens, questionnaires et modélisations), nous avons étudié la capacité des personnes à neutraliser les menaces, ainsi que leur auto-efficacité sur ordinateur. Cette dernière porte sur le jugement de chaque personne par rapport à leurs propres capacités à utiliser des ordinateurs dans diverses situations pour parvenir à exécuter une tâche», ajoute le professeur Venard. Les chercheurs ont utilisé la modélisation structurelle pour tester leurs méthodes. Au total, ils ont mené 65 entretiens auprès d’étudiants et d’experts en technologie de l’information au Royaume-Uni et 109 en France. Le nombre d’entretiens menés a été presque trois fois supérieur à celui prévu initialement. Le processus d’entretien, long et intense, a permis aux chercheurs de mieux comprendre le comportement en matière de sécurité informatique, notamment pourquoi certains étudiants ne se protègent pas lorsqu’ils accèdent à Internet via leur ordinateur ou leur smartphone. Les conclusions du projet ont révélé que la fréquence et la gravité des cybermenaces n’influencent pas le comportement des étudiants en matière de sécurité informatique. «Les étudiants sont capables de se protéger efficacement, surtout lorsqu’ils ont accès à des antivirus et à des outils logiciels anti-logiciels espions ou des pare-feux très conviviaux, et pourraient bénéficier de l’aide de la tutelle sociale, à savoir un membre de la famille ou des collègues qui protègent la victime d’une attaque. Les coûts de réponse élevés de l’adoption d’une nouvelle technologie, c’est-à-dire les frais indirects associés à la mise en œuvre d’un système de sécurité de l’information, semblent générer une motivation moindre à l’égard de la protection», explique le professeur Venard. En outre, le stress provoqué par le nombre de cyberattaques, qui a augmenté parallèlement à la propagation rapide de la pandémie de COVID-19, semble ne pas avoir d’effet direct sur le comportement des étudiants vis-à-vis de la cybersécurité. Les résultats du projet pourraient s’avérer précieux pour les institutions d’éducation supérieure, les organisations et les gouvernements, en leur permettant de prendre des mesures de protection supplémentaires pour faire face à la hausse des risques cybernétiques.

Mots‑clés

CYBERSECURITY, comportement, étudiants, personnes, cybercriminalité, cyberattaque, tutelle sociale, coût de réponse