Sécuriser tous les domaines – grâce aux aspects psychologiques

Cet article est paru dans Softwarekatalog 2021 de FMH Services.

Les formations et les mesures de prévention dans le domaine de la sécurité au travail sont au-jourd’hui la norme. Le secteur de la santé n’y échappe pas et chacun sait que l’impact d’un accident, dans ce domaine comme dans les autres, peut aller au-delà du seul aspect financier. Toutefois, la sécurité au travail ne se limite pas à l’analogique: le danger guette également dans le domaine numérique – un danger que des mesures préventives appropriées permettent d’éviter. Alors comment se protéger sur le web de la même façon qu’on se protège chaque jour sur son lieu de travail? En intégrant des aspects psychologiques, la vigilance en matière de sécurité informatique (ou «awareness») offre ici une réponse pleine de promesses, sur laquelle je me suis attardée dans mon travail de bachelor en qualité d’experte en vigilance.

MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information du Conseil fédéral suisse, a inscrit il y a déjà longtemps les hôpitaux sur la liste des infrastructures informatiques critiques. À juste titre, comme le prouvent les attaques de plus en plus fréquentes en milieu hospitalier. Depuis ces dernières années, on assiste en effet à une recrudescence de cyberattaques aux conséquences parfois très graves contre les établissements de santé suisses avec, pour la première fois, la mort d’une personne en 2020. Force est de constater que ce phénomène peut toucher n’importe qui et que le système de santé est une cible de choix pour les cybercriminels. Et cela concerne aussi bien les petits cabinets privés que les établissements de grande envergure. On sera d’accord pour dire que cela n’a pas toujours été le cas, n’est-ce pas?

Accidents du travail – dans l’univers du numérique autant que dans le monde analogique

Lorsque de tels dangers se présentent, quiconque est tenté d’en imputer la faute au numérique oublie trop vite que les accidents et les dangers se cachent également dans le monde analogique. De fait, un lien a pu être établi au sein des entreprises entre les accidents du travail et un relâchement de la vigilance dans le domaine de la sécurité informatique (connue aussi sous le nom d’«awareness»). Cependant, en matière de cyberdanger, la première victime n’est pas celui qui a provoqué l’accident, mais bel et bien le patient ou ses données sensibles, voire la santé du patient elle-même. En effet, à la suite d’une cyberattaque, il est parfois nécessaire, par exemple, de débrancher les respirateurs ou d’autres appareils médicaux. Dans le pire des cas, on ne peut écarter le risque que des cybercriminels prennent le contrôle de ces équipements. Or là où un accident du travail n’entraîne qu’un arrêt de travail de la victime, c’est le fonctionnement d’un service entier qui peut paralysé par une cyberattaque. Il convient par conséquent de mettre en place des formations adéquates de sensibilisation à la vigilance dans la même mesure qu’il convient de garantir les bases élémentaires de la sécurité au travail. Mais en quoi peut consister la formation destinée à accroître la sécurité informatique dans l’entreprise?

Trois facteurs clés parmi d’autres

Les connaissances personnelles, l’attitude et le comportement à l’égard de la sécurité informatique exercent une influence majeure sur la vigilance. Il s’agit notamment du degré d’importance que le collaborateur accorde aux mesures de sécurité prises et – davantage encore – du degré de contrainte qu’il ressent vis-à-vis du respect de ces mesures. Tout cela peut mettre en évidence des relations de cause à effet, positives ou négatives selon lesdits degrés, entre certains facteurs de la personnalité, tels que l’évitement du travail, la conscience professionnelle et la propension au risque. Dans le cadre de mon travail, le facteur connaissances s’est avéré être le principal fac-teur d’amélioration de la vigilance. Si, par exemple, un professionnel de la santé a été formé dans ce sens, il sera davantage susceptible de vérifier un spam déguisé en e-mail inoffensif avant de l’ouvrir et pourra ainsi déjouer une cyberattaque. Dans le monde numérique également, le savoir protège. Pour un œil exercé, le contrôle succinct des e-mails ne prend pas beaucoup de temps, mais peut éviter des dommages considérables. Mais, au fait, pourquoi le professionnel de la santé ouvrirait-il un e-mail sans la prudence qui s’impose?

Oppurtunités et risques liés à la personnalité

En l’état actuel des connaissances, on suppose qu’il existe un lien entre les facteurs humains et la sécurité informatique dans le secteur de la santé. Toutefois, la recherche dans ce domaine n’en est qu’à ses balbutiements. Elle fournit déjà néanmoins un certain nombre de pistes édifiantes susceptibles, au moins partiellement, de répondre à la question cidessus, raison pour laquelle je l’ai exploré plus en détail dans mon travail. Il est communément admis que la personnalité d’un individu influence son comportement, dans le domaine numérique comme dans tous les autres domaines. Les personnes dotées d’une grande conscience professionnelle ont davantage ten-dance à observer les règles que celles ayant un degré de conscience professionnelle moindre. Un constat qui, d’évidence, s’applique également à la sécurité au travail. Ainsi, le professionnel de santé consciencieux applique les mesures de prévention pour la sécurité au travail au pied de la lettre, même lorsqu’il sait que personne ne l’observe. En revanche, des effets plutôt négatifs peuvent être constatés en présence d’une propension au risque accrue. Les projections indiquent une tendance à une forte propension aux risques liés à des activités de loisirs à risque, mais il serait faux de généraliser notre propos en affirmant que tous les collaborateurs ayant des passe-temps périlleux représentent une menace pour la sécurité informatique. Mais quels sont les facteurs qui offrent aujourd’hui le plus de potentiel?

Facteur humain x facteur « connaissances »

Les facteurs «attitude» et «comportement» sont donc également liés, entre autre, à la personna-lité individuelle. Le facteur «connaissances», en revanche, peut être influencé par des facteurs externes et est celui qui offre le plus grand potentiel. La vigilance peut être massivement accrue grâce à la transmission de connaissances approfondies par le biais de formations sur site ou de portails d’apprentissage numériques. Le même constat s’impose en ce qui concerne la prévention des accidents: lorsqu’on a identifié l’endroit précis au sol où tout le monde chute immanquablement en passant dessus, les processus internes peuvent être adaptés de manière à éliminer ce point dangereux. Ainsi, les campagnes de sensibilisation à la vigilance pointent du doigt les dangers et livrent des mesures préventives appropriées. À cet égard, l’accent est mis non seulement sur la prévention des cyberattaques, mais également sur le bon comportement à adopter si une attaque se produit malgré toute la prudence apportée. Mais comment rester vigilant en permanence?

Zéro accident même sur le net grâce à des efforts desensibilisation à la vigilance ciblés

La vraie clé du succès pour que les collaborateurs se maintiennent dans un état de vigilance per-manent repose uniquement sur des mesures de sensibilisation constantes. Outre des formations et des portails d’apprentissage interactifs, ces dernières incluent également la confrontation avec des thèmes actuels autour de la sécurité de l’information. C’est l’une des raisons pour lesquelles je veille à ce que les contributions actuelles autour de ces thèmes soient accessibles à toutes et à tous dans le blog HIN. En effet, seules une vigilance et une curiosité sans relâche font du facteur humain une véritable opportunité dans le domaine de la sécurité de l’information comme dans celui de la sécurité au travail. De cette façon, vous et votre équipe demeurez vigilants et, avant tout, protégés contre les accidents – et ce, espérons-le, dans tous les domaines.Des cours de formation spécialement adaptés aux établissements de santé ainsi qu’un portail d’elearning interactif dédié à la sensibilisation à la vigilance et axé sur les facteurs psychologiques, sont disponibles sur www.hin.ch/fr/hinacademy/

Sources
1. Artikel zu Cyberattacken im Gesundheitswesen «Todesfall nach Hackerangriff auf Uni-Klinik Düsseldorf» URL: https://www.handelsblatt. com/technik/sicherheit-im-netz/cyberkriminalitaet-todesfall-nachhackerangriff-auf-uni-klinik-duesseldorf/26198688.html?ticket=ST717233-lNW7HXxoxzxSj76hsHQ9-ap4, 18.09.2020
2. Bachelor Arbeit «Faktor Mensch in der Cybersecurity – eine psychologische Untersuchung der Information Security Awareness von Gesundheitsfachpersonen» von Jona S. Karg, Mai 2020, Zürcher Hochschule für Angewandte Wissenschaften, Studiengang Angewandte Psychologie