Il s'agit d'un résumé de van Steen, T., Norris, E., Atha, K. et Joinson, A. (2020). What (if any) behaviour change techniques do government-led cybersecurity awareness campaigns use?
Que nous dit la littérature ?
Les gouvernements nationaux reconnaissent de plus en plus que l’environnement numérique n’est pas seulement constitué d’éléments technologiques, mais implique également la responsabilité des entreprises et des citoyens. C’est dans cette optique des campagnes de sensibilisation nationales, ayant pour but d’améliorer la cyberhygiène et les compétences numériques des citoyens, sont mises en place. Toutefois, les campagnes de sensibilisation à elle seule ne suffisent pas à changer le comportement de manière que ce dernier soit plus sécuritaire en ligne. Des études plus récentes montrent que les éléments théoriques liés au changement de comportement, tels que l’autoefficacité, peuvent positivement influencer le comportement sécuritaire en mettant l’accent sur le développement de compétences plutôt que simplement sensibiliser ou effrayer les utilisateurs.
Que nous propose cette étude?
À l’aide de la taxonomie des techniques de changement de comportement, les chercheurs ont analysé les techniques utilisées dans les campagnes de sensibilisation à la cybersécurité d’extraire possiblement de bonnes pratiques en matière de campagnes de cybersécurité gouvernementales.
Les auteurs ont étudié 17 campagnes de sensibilisation gouvernementales en s’intéressant particulièrement 1) aux buts de la campagne; 2) aux recours aux concepts de changement de comportement et 3) à l’efficacité de ces campagnes.
La majorité des campagnes de sensibilisation étudiées promeuvent du contenu éducatif et informatif sur la cyberhygiène, comme des conseils sur les changements périodiques de mots de passe ou bien encore des guides comportant des instructions sur l’utilisation de logiciels spécifiques.
La taxonomie des techniques de changement de comportement
Cette taxonomie, développée par Susan Michie et ses collègues à la suite d’une revue de littérature, rend compte des différentes techniques utilisables dans une intervention cherchant à modifier un comportement.
Cette taxonomie a pour objectif de (1) favoriser l’implémentation des interventions comportementales ; (2) faciliter la réplication des études et donc identifier qu’elles sont les composantes efficaces d’une intervention ; et (3) encourager le développement d’interventions précises et falsifiables.
Source : Bernard, P., Boiché, J., Chevance, G., Haas, M., Héraud, N., Latrille, C., Lucas, C., Molinier, V., Roux, M., & Romain, AJ. (2019). Traduction française de la taxonomie des techniques de changement de comportement (v1 ; Michie et al., 2013). En ligne
Que retenir?
L’ensemble des campagnes ne s’arrêtaient qu’à l’offre de conseils et de formation et aucune d’entre elles n’offrait d’augmenter les moyens à dispositions des utilisateurs, par exemple en offrant des outils ou solutions technologiques.
Le contenu des campagnes suggère que le but principal de ces dernières est de simplement sensibiliser les utilisateurs. À elle seule, la sensibilisation n’améliore pas la sécurité des utilisateurs. Il importe que ces derniers changent leur comportement. Il s’agit donc de mettre en œuvre des campagnes qui vont au-delà de la sensibilisation et incorporer des concepts tirés des théories de changement du comportement.
Les campagnes de sensibilisation cherchant à améliorer le comportement sécuritaire des utilisateurs doivent adopter une approche structurée dans laquelle, chaque aspect du processus de décision de (ne pas) se comporter de manière sécuritaire soit couvert. Pour cela, les campagnes doivent cibler des comportements, des menaces et des populations spécifiques.
Téléchargez le résumé en PDF
Photo de Firmbee.com sur Unsplash