in

Pourquoi les conseils en matière de sécurité informatique sont-ils si déroutants ?

Laptop Cybersecurity

Une étude récente identifie des problèmes liés aux directives actuelles en matière de sécurité informatique, suggérant qu’elles sont souvent déroutantes et accablantes pour les employés. Les chercheurs recommandent une approche plus ciblée, mettant l’accent sur les messages clés et donnant la priorité aux informations vitales pour améliorer la compréhension et la mise en œuvre de la sécurité informatique.

Si vous vous êtes déjà senti déconcerté par les consignes de sécurité informatique fournies sur votre lieu de travail, vous n’êtes pas seul. Une étude récente souligne un problème fondamental dans l’élaboration de ces lignes directrices et suggère des mesures simples pour les améliorer – conduisant probablement à une meilleure sécurité informatique.

L’inquiétude tourne autour des protocoles de sécurité informatique fournis par les institutions, notamment les entreprises et les organismes gouvernementaux, à leur personnel. Ces protocoles visent à guider les employés dans la protection des données personnelles et organisationnelles contre les dangers tels que les logiciels malveillants et les attaques de phishing.

« En tant que chercheur en sécurité informatique, j’ai remarqué que certains des conseils en matière de sécurité informatique que je lis en ligne sont déroutants, trompeurs ou tout simplement faux », déclare Brad Reaves, auteur correspondant de la nouvelle étude et professeur adjoint d’informatique à l’université. Université d’État de Caroline du Nord. « Dans certains cas, je ne sais pas d’où viennent les conseils ni sur quoi ils sont basés. C’est ce qui a motivé cette recherche. Qui rédige ces lignes directrices ? Sur quoi fondent-ils leurs conseils ? Quel est leur processus ? Y a-t-il un moyen de faire mieux ?

Pour l’étude, les chercheurs ont mené 21 entretiens approfondis avec des professionnels chargés de rédiger des directives de sécurité informatique pour des organisations, notamment de grandes entreprises, des universités et des agences gouvernementales.

« Ce qu’il faut retenir ici, c’est que les personnes qui rédigent ces lignes directrices essaient de donner autant d’informations que possible », explique Reaves. « C’est génial, en théorie. Mais les auteurs ne donnent pas la priorité aux conseils les plus importants. Ou, plus précisément, ils ne le font pas déprioriser les points qui sont nettement moins importants. Et comme il y a tellement de conseils de sécurité à inclure, les directives peuvent être écrasantes – et les points les plus importants se perdent dans le remaniement.

Les chercheurs ont découvert que l’une des raisons pour lesquelles les directives de sécurité peuvent être si contraignantes est que leurs rédacteurs ont tendance à incorporer tous les éléments possibles provenant d’une grande variété de sources faisant autorité.

« En d’autres termes, les rédacteurs des lignes directrices compilent des informations sur la sécurité, plutôt que de les conserver pour leurs lecteurs », explique Reaves.

S’appuyant sur ce qu’ils ont appris des entretiens, les chercheurs ont élaboré deux recommandations pour améliorer les futures directives de sécurité.

Premièrement, les rédacteurs de lignes directrices ont besoin d’un ensemble clair de bonnes pratiques sur la manière de conserver les informations afin que les lignes directrices en matière de sécurité indiquent aux utilisateurs à la fois ce qu’ils doivent savoir et comment hiérarchiser ces informations.

Deuxièmement, les rédacteurs – et la communauté de la sécurité informatique dans son ensemble – ont besoin de messages clés qui auront du sens pour des publics ayant différents niveaux de compétence technique.

« Écoutez, la sécurité informatique est compliquée », explique Reaves. « Mais la médecine est encore plus compliquée. Pourtant, pendant la pandémie, les experts en santé publique ont pu donner au public des lignes directrices assez simples et concises sur la façon de réduire notre risque de contracter la COVID. Nous devons pouvoir faire la même chose pour la sécurité informatique.

En fin de compte, les chercheurs constatent que les rédacteurs de conseils de sécurité ont besoin d’aide.

« Nous avons besoin de recherches, de lignes directrices et de communautés de pratique capables de soutenir ces auteurs, car ils jouent un rôle clé dans la transformation des découvertes en matière de sécurité informatique en conseils pratiques pouvant être appliqués dans le monde réel », explique Reaves.

« Je tiens également à souligner que lorsqu’il y a un incident de sécurité informatique, il ne faut pas blâmer un employé parce qu’il n’a pas respecté l’une des mille règles de sécurité que nous attendions de lui. Nous devons faire un meilleur travail en créant des lignes directrices faciles à comprendre et à mettre en œuvre.

Vectidromeus insularis

« Tout à fait bizarre » – Des scientifiques découvrent une autre nouvelle espèce de dinosaure sur l’île de Wight

Tucker Carlson nie le rapport selon lequel Ron DeSantis aurait eu des relations inappropriées avec son chien, et ne nie pas qu'il pense que DeSantis est un « fasciste »

Tucker Carlson nie le rapport selon lequel Ron DeSantis aurait eu des relations inappropriées avec son chien, et ne nie pas qu’il pense que DeSantis est un « fasciste »