Cette note explore le phénomène du blâme des victimes de fraude, particulièrement en ligne. Malgré la complexité croissante des stratagèmes frauduleux, les victimes sont souvent jugées responsables, ce qui freine leur dénonciation et accentue leur détresse. Deux théories clés expliquent ce phénomène : celle du monde juste, où l'on croit que les victimes sont responsables de leur sort, et celle de la victime idéale, selon laquelle certaines victimes sont perçues comme plus crédibles que d’autres. L’humour moqueur et divers biais cognitifs alimentent cette stigmatisation. Un changement de discours est nécessaire pour améliorer la prévention et le soutien.

Cette note de synthèse compare les méthodes de mesure de la cybercriminalité au Canada, en Australie et au Royaume-Uni. Elle passe en revue divers rapports et enquêtes produits par des agences gouvernementales, des centres de cybersécurité et des organismes de recherche. L’analyse met en lumière les limites des données policières, les défis liés à la sous-déclaration, ainsi que les forces des approches mixtes et longitudinales. En comparant les résultats et les méthodologies, l’autrice souligne l’importance d’une collecte rigoureuse et transparente des données pour mieux comprendre les cybermenaces et orienter les politiques publiques de prévention.

Cette note explore l’application de la Roue des changements de comportement (RCC) en cybersécurité. Alors que les formations traditionnelles ne garantissent pas des comportements de sécurité durables, la RCC, issue de la psychologie comportementale, propose une approche plus complète en intégrant les facteurs individuels, environnementaux et organisationnels. Le modèle COM-B, composante centrale de la RCC, identifie les leviers d’action à travers la capacité, l’opportunité et la motivation. Un exemple d’application dans une entreprise illustre comment adapter les interventions. La note recommande une approche holistique pour renforcer la cybersécurité, en dépassant la simple sensibilisation pour instaurer des pratiques durables.

Cette note de synthèse porte sur l'usage de l’humour comme levier de sensibilisation, en mettant en évidence ses avantages et ses limites. Il explore les différentes formes et mécanismes de l’humour, notamment la théorie de l’incongruité. L’humour peut capter l’attention, réduire le stress et améliorer la mémorisation, mais il peut aussi nuire à la réception du message s’il est mal adapté. Des études montrent son efficacité en cybersécurité, santé publique et sécurité routière, bien que son impact varie selon le contexte. La note conclut en recommandant une adaptation aux publics cibles et une évaluation rigoureuse des effets.

La mesure de la cybercriminalité au niveau international varie en fonction des définitions et méthodes utilisées par les organisations. Des rapports comme l'Internet Organized Crime Threat Assessment d'Europol et le Global Risk Report du World Economic Forum mettent en évidence les tendances et les menaces actuelles, telles que les rançongiciels et les vols de données. Cependant, la diversité des méthodologies et des sources de données rend difficile une estimation globale et précise de la cybercriminalité. Ces études offrent néanmoins des pistes importantes pour orienter les politiques et stratégies de lutte contre la cybercriminalité.

Les nudges (ou coups de pouce) appliqués à la cybersécurité consistent à influencer subtilement les comportements pour améliorer la sécurité en ligne, sans restreindre la liberté de choix des utilisateurs. Ces interventions se basent sur des mécanismes tels que l'incitation, la rétroaction, les options par défaut et l'influence sociale pour encourager des pratiques sécuritaires. Par exemple, des messages de rappel sur la robustesse des mots de passe ou des avertissements concernant des sites non sécurisés sont des formes de nudges. Bien que ces méthodes puissent être efficaces, elles soulèvent des questions éthiques liées à la transparence et à la manipulation des utilisateurs.

La responsabilisation en matière de fraude bancaire est complexe et soulève des questions sur la part de responsabilité des institutions financières et des clients. Au Royaume-Uni, des mesures comme le Contingent Reimbursement Model (CRM) obligent les banques à rembourser les victimes de fraudes sauf en cas de négligence grave de leur part. En Australie, l'accent est mis sur la prévention plutôt que sur le remboursement. Cependant, les deux approches soulignent l'importance de l'amélioration des pratiques de sécurité, de la collaboration interbanques et du partage de renseignements pour lutter contre la fraude.

Les biais cognitifs influencent la prise de décision en cybersécurité, souvent en menant à des erreurs de jugement. Les heuristiques, ou raccourcis mentaux, permettent de prendre des décisions rapidement, mais peuvent générer des biais comme l'effet de cadrage, l'illusion du contrôle ou l'ancrage. Ces biais peuvent rendre les employés et gestionnaires vulnérables à des cyberattaques, notamment via l'ingénierie sociale. Des interventions, telles que des formations ciblées et des rappels réguliers, peuvent aider à limiter les risques associés aux biais cognitifs et renforcer la résilience en cybersécurité.

Les outils de communication en sensibilisation à la cybersécurité sont essentiels pour renforcer la sécurité en entreprise. Ces outils incluent des supports physiques (ateliers, affiches, documents papier) et numériques (courriels, vidéos, infographies). Les simulations et jeux sérieux sont particulièrement efficaces pour améliorer la perception des risques et encourager les comportements sécuritaires. Cependant, l'efficacité des outils varie selon leur conception et l'engagement des participants. Une approche diversifiée et adaptée aux besoins de l'audience peut maximiser l'impact des programmes de sensibilisation.

La fatigue de sécurité survient lorsque les employés deviennent lassés et désensibilisés face aux nombreuses exigences en matière de cybersécurité. Cette fatigue est provoquée par des facteurs cognitifs, tels que la surcharge d'informations, la mémorisation constante de mots de passe et l'alerte continue face aux menaces. Les sources comportementales incluent la répétition des tâches liées à la sécurité et les distractions au travail causées par les politiques. Pour limiter cette fatigue, il est crucial de simplifier les formations, d'adapter les politiques aux besoins des employés et de démontrer leur utilité pratique.