Lee Hadlington est un cyberpsychologue de l’Université De Montfort. Il étudie l’impact de la psychologie sur la cybersécurité. Il a récemment mené une étude pour savoir si les caractéristiques de la personnalité telles que l’impulsivité et la “cyberdépendance” pouvaient déterminer si les internautes étaient plutôt prudents ou enclin à prendre des risques vis-à-vis de la cybersécurité. L’étude a été publiée en juillet.
Pour l’étude, 538 personnes au Royaume-Uni en activité ont rempli un questionnaire en ligne. Les personnes interrogées avaient entre 18 et 84 ans, composées de 218 hommes et 297 femmes.
Dans l’étude de Hadlington, certains des comportements à risque en matière de cybersécurité comprenaient :
- Le partage des mots de passe avec des amis et des collègues.
- La désactivation du logiciel antivirus pour accéder au contenu bloqué.
- L’utilisation du même mot de passe pour plusieurs sites web.
- L’envoi d’informations personnelles à des étrangers sur internet.
- Le téléchargement de médias numériques tels que la musique et la vidéo, à partir de sources non autorisées.
- La saisie d’informations de paiement sur des sites web qui n’ont pas de données relatives claires concernant la sécurité en place.
Hadlington a utilisé les critères de Mark Griffiths concernant l’usage problématique d’internet dans sa définition de la cyberdépendance. Griffiths définit l’usage problématique d’internet comme un besoin compulsif de s’engager dans des activités en ligne au détriment d’autres, faisant partie pourtant de la vie quotidienne d’une personne.
Cependant, des concepts tels que la “cyberdépendance” et la “dépendance aux jeux vidéo” sont controversés dans la communauté des psychologues. Le Dr Anthony Bean, un psychologue clinicien, a récemment été interviewé dans Polygon au sujet de son scepticisme à propos de la dépendance aux jeux vidéo.
L’une des principales préoccupations que nous avons, c’est que nous mettons la charrue avant les bœufs. En effet, nous ne savons pas ce qu’est la cyberdépendance aux jeux vidéo. Les domaines de la psychologie et de la médecine ont pris le concept de dépendance, que ce soit vis-à-vis d’une substance ou d’autre chose du même type, et l’a tout simplement appliqué aux jeux vidéo. L’idée était la suivante : “Oh, c’est une forme de dépendance, similaire à toute autre forme de dépendance”. Mais ce n’est justement pas pareil !
Vous pourriez suivre le même raisonnement avec le football. Pourquoi ne considérons-nous pas ce sport comme une addiction ? Qu’en est-il de quelqu’un qui aime vraiment aller dans une bibliothèque et lire des livres, et qui est incapable de s’arrêter de lire parce qu’il est arrivé au passage le plus exaltant de livre en question. Si vous le forcez à poser ce livre, son esprit continuera d’y penser. N’est-ce pas aussi une forme de dépendance ?
Ainsi le fait de parler ici d’addiction, n’est-ce pas une pathologisation inutile ? Hadlington déclare :
Je pense qu’il existe deux problèmes ici : la dépendance est un terme clinique, qui nécessite un diagnostic formel, et dans le cadre de mon travail, j’accepte qu’il s’agisse d’un problème. Je pense que nous voulons examiner davantage la question d’une utilisation problématique, et la cyberdépendance est un terme générique à travers lequel d’autres aspects de la dépendance à la technologie numérique peuvent être traités, si cela a du sens bien entendu. Je n’ai encore rien vu [pour la cyberdépendance dans le manuel de diagnostic psychiatrique DSM-V], mais le terme en lui-même est problématique, car du point de vue de la recherche il est utilisé comme une étiquette à l’heure actuelle .
Néanmoins, selon la définition de la cyberdépendance que Hadlington et Griffiths ont acceptée, l’étude a mis en évidence une corrélation avec un comportement à risque en matière de cybersécurité. L‘Echelle de Cognition en Ligne (Online Cognition Scale) de Richard Davis a été utilisée pour déterminer si les sujets de l’étude de Hadlington étaient cyberdépendants. Selon l’article :
Les résultats ont démontré que la cyberdépendance était un important prédicteur de comportements à risque en matière de cybersécurité.
L’étude a utilisé l’Échelle d’Impulsivité Abrégée (Abbreviated Impulsiveness Scale) de Christopher Coutlee pour déterminer si les sujets étaient impulsifs. L’étude de Hadlington a trouvé une autre corrélation :
La mesure de l’impulsivité a révélé que l’impulsivité attentionnelle et l’impulsivité motrice étaient toutes deux des prédicteurs positifs significatifs de comportements risque en matière de cybersécurité, alors que la non-planification étant, quant à elle, un prédicteur négatif important.
Ainsi, comment des entreprises peuvent-elles aider leurs employés à mieux gérer la cybersécurité ? Hadlington répond :
Je pense tout d’abord qu’ils doivent comprendre ce qui se passe au sein de leur entreprise. Plutôt que de dépenser de l’argent pour rendre la protection par mot de passe plus efficace, ils pourraient déjà être en sécurité, car il s’agit tout simplement de savoir ce qui fonctionne vraiment. Nous savons, par le biais d’études réalisées, que la formation en ligne et les emails traitant de la cybersécurité ne fonctionnent pas vraiment. Vous devez vous connecter concrètement avec les employés, afin que les groupes de discussion et les conférenciers invités puissent être davantage efficaces afin de réellement modifier les comportements.
Comment un groupe de discussion peut-il être mis en œuvre ?
Il faut très peu de temps et d’argent pour s’impliquer dans une recherche académique qui pourrait aider une entreprise à identifier les principaux risques, et qui pourrait leur permettre d’économiser des millions dans le long terme. Les groupes de discussion sont vraiment faciles à mettre en place, et vous pouvez présenter le sujet (comme la sécurité en ligne par exemple) et demander aux gens quelles sont leurs principales préoccupations. Souvent, on remarque que les groupes ont les mêmes préoccupations, auxquelles le groupe de discussion peut fournir des réponses.
Il semble donc que les personnes qui ont des comportements à risque dans d’autres domaines de leur vie sont plus susceptibles de s’engager dans des comportements à risque aussi lorsqu’ils sont devant leur ordinateur et en train d’utiliser internet. Heureusement, les gens peuvent apprendre et changer leur comportement en matière de cybersécurité, grâce notamment à un enseignement direct, et de plus solliciter des feedbacks est bien plus efficace que les méthodes de formation indirectes telles que l’envoi d’emails.
Billet inspiré de Are you an adrenaline junkie who takes risks with security?, sur Sophos nakedsecurity.