Si vous avez déjà été déconcerté par les consignes de sécurité informatique fournies sur votre lieu de travail, vous n'êtes pas seul. Une étude récente met en évidence un problème fondamental dans l'élaboration de ces lignes directrices et suggère des mesures immédiates pour les améliorer, améliorant ainsi potentiellement la sécurité informatique.
Les préoccupations concernent les protocoles de sécurité informatique que les entreprises et les agences gouvernementales fournissent à leurs employés, conçus pour guider les employés dans la protection des données personnelles et organisationnelles contre les dangers tels que les logiciels malveillants et les attaques de phishing.
"En tant que chercheur en sécurité informatique, j'ai remarqué que certains des conseils en matière de sécurité informatique que je lis en ligne sont déroutants, trompeurs ou tout simplement faux", a déclaré Brad Reaves, auteur correspondant de la nouvelle étude et professeur adjoint d'informatique à l'Université Harvard. "Dans certains cas, je ne sais pas d'où viennent les recommandations ni sur quoi elles sont basées. C'est ce qui a motivé cette étude. Qui rédige ces lignes directrices ? Sur quoi sont basées leurs recommandations ? Quel est leur processus ? Y a-t-il quelque chose que nous puissions faire mieux ?"
Pour cette étude, les chercheurs ont mené 21 entretiens approfondis avec des professionnels chargés de rédiger des guides de sécurité informatique pour des organisations telles que de grandes entreprises, des universités et des agences gouvernementales.
"Ce qu'il faut retenir ici, c'est que les personnes qui rédigent ces lignes directrices essaient de fournir autant d'informations que possible", a déclaré Reaves. "En théorie, c'est formidable. Mais les auteurs ne donnent pas la priorité aux recommandations les plus importantes. Ou, plus précisément, ils ne dépriorisent pas les points les moins importants. Avec autant de recommandations de sécurité à inclure, les lignes directrices peuvent devenir écrasantes et les points les plus importants se perdent dans le remaniement."
Les chercheurs ont découvert que l’une des raisons pour lesquelles les directives de sécurité sont si écrasantes est que leurs rédacteurs ont tendance à incorporer tous les éléments possibles provenant de diverses sources faisant autorité.
"En d'autres termes, les rédacteurs de lignes directrices compilent des informations sur la sécurité plutôt que de conserver des informations sur la sécurité pour les lecteurs", a déclaré Reeves.
Sur la base de ce qu'ils ont appris des entretiens, les chercheurs ont formulé deux recommandations pour améliorer les futures directives de sécurité.
Premièrement, les rédacteurs de lignes directrices ont besoin d’un ensemble clair de bonnes pratiques sur la manière de gérer les informations afin que les guides de sécurité indiquent aux utilisateurs ce qu’ils doivent savoir et comment hiérarchiser ces informations. Deuxièmement, les rédacteurs, et l’ensemble de la communauté de la sécurité informatique, ont besoin d’informations critiques qui soient significatives pour des publics ayant différents niveaux de compétences techniques.
"Écoutez, la sécurité informatique est compliquée", a déclaré Reeves. "Mais la médecine est plus complexe. Pourtant, pendant la pandémie, les experts en santé publique ont pu fournir au public des conseils assez simples et concis sur la manière de réduire le risque de contracter le COVID-19. Nous devons pouvoir faire de même pour la sécurité informatique."
En fin de compte, les chercheurs ont découvert que les rédacteurs de conseils de sécurité avaient besoin d’aide.
"Nous avons besoin de recherche, de conseils et d'une communauté de pratique capable de soutenir ces auteurs, car ils jouent un rôle essentiel dans la traduction des résultats de la sécurité informatique en recommandations pratiques pour des applications réelles", a déclaré Reeves. « Je tiens également à souligner que lorsqu'un incident de sécurité informatique survient, nous ne devons pas blâmer les employés parce qu'ils n'ont pas suivi l'une des mille règles de sécurité que nous attendons d'eux. Nous devons faire un meilleur travail en élaborant des lignes directrices faciles à comprendre et à mettre en œuvre.