Newsletter #15 : Nudges et cybersécurité

Souvent résumé à une incitation douce, le nudge est un aspect de l’architecture des choix qui modifie de manière prévisible le comportement des individus sans interdire aucune des options et sans changer significativement leurs incitations économiques.

Les nudges sont-ils efficaces pour guider les comportements dans tous les domaines? En particulier, quel est leur impact pour réduire le risque cyber ? Nos chercheurs en sciences comportementales vous livrent des éléments de réponse via la synthèse de ces 4 articles universitaires.

Le nudge est un outil d’incitation qui suscite un débat actuellement en sciences comportementales et qui fait couler beaucoup d’encre. En effet, durant ces quatre dernières années, de nombreux articles nous ont éclairé sur l’efficacité du nudge à long terme dans les différents domaines de la vie quotidienne, et ont tracé une sorte de va-et-vient entre son utilité sociale et sociétale et le respect de l’éthique — notamment le consentement des personnes “nudgées”.

L’article suivant s’inscrit dans cette perspective globale et montre via une méta-analyse de 200 études dans les différents domaines comportementaux que l’efficacité du nudge dépend de plusieurs facteurs tels que :

En conclusion, les chercheurs présentent une discussion sur l’efficacité des nudges et l’implication des résultats issus de cette méta-analyse dans le choix des démarches et des méthodes d’intervention visant la promotion des comportements cibles.

LIRE

En janvier 2022, une méta-analyse évaluant l’efficacité des nudges comme interventions dans différents domaines a été publiée dans la revue PNAS, concluant que ceux-ci amenaient en moyenne à un changement significatif. Toutefois, une réponse publiée peu après suggérait qu’en corrigeant la méta-analyse des biais de publications, l’efficacité réelle des “nudges” serait faible, voire nulle, donnant ainsi lieu à une remise en question de leur utilisation.

Michael Hallsworth, directeur du Behavioural Insights Team aux Etats-Unis, en plus d’apporter des preuves d’efficacité de l’approche comportementale via méta-analyses réalisées sur les milliers d’interventions du BIT US, appelle également dans cet article à remettre ce débat en perspective en faisant reconnaitre toute la diversité que recouvrent les interventions comportementales, en termes de cibles, de méthodes et de domaines, et cela au-delà du nudge.

LIRE

Cherchant à tester l’efficacité à long terme et à court terme d’interventions comportementales, ces deux chercheuses en sécurité informatique ont conduit une expérience en ligne tout en plaçant leurs participants dans un contexte correspondant au mieux à la vie réelle.

Leur approche fut ainsi de tester trois types d’interventions — la présentation d’informations seules, le nudge seul, une méthode hybride alliant présentation d’informations et nudge — sur un éventail de pratiques pouvant amener à des failles de sécurité informatique. Les pratiques furent sélectionnées sur la base de la fréquence et de leur complexité, allant ainsi du plus ou moins fréquent et du plus ou moins complexe (e.g : choisir un réseau WiFi, créer un mot de passe).

Leurs résultats démontrent qu’une approche hybride, fournissant une information pour plus de transparence et simplifiant à la fois le contexte de décision s’avère au moins aussi efficace que les nudges classiques dans tous les cas de figures, voire même plus efficace dans certains contextes (e.g : choix de réseau WiFi). Bien que des tests subséquents démontrent que les effets de ces interventions aient disparus deux semaines plus tard, leur méthode ne permet pas de conclure sur leur efficacité lorsque les individus y sont exposés à plusieurs reprises, car les chercheuses ont présenté leurs interventions uniquement lors de l’étude initiale.

Au-delà de leur intérêt pour les praticiens de la sécurité informatique, ces résultats indiquent que la transparence des nudges ne nuit pas à leur efficacité ; ce serait même le contraire. Ainsi, des approches tournées à la fois vers les comportements habituels ou automatiques et la réflexion des utilisateurs seraient au moins tout aussi efficace, tout en évitant les critiques de manipulation souvent opposés à l’utilisation des nudges.

LIRE

L’utilisation de mot de passe constitue la méthode d’authentification la plus populaire en raison de sa simplicité et de son adoption généralisée. Une seule personne peut avoir plusieurs dizaines de mots de passe (38.4 en moyenne selon SC Magazine). Cela conduit naturellement à une réutilisation de mots de passe (71% des comptes sont protégés par des mots de passe utilisés sur plusieurs sites selon Dataprot). Lorsque l’un de ces sites web est piraté, les autres comptes utilisant le même mot de passe ne sont plus protégés. Pour savoir si votre email ou numéro de téléphone fait partie de l’une des multiples fuites de données de ces derniers années, jetez un œil ici : haveibeenpwned.com.

L’un des remèdes à la réutilisation des mots de passe, c’est de faire appel à un outil spécialisé, un manager de mot de passe à installer ou déjà présent sur les explorateurs internet. L’article que nous vous proposons aujourd’hui compare les “nudges” utilisés par trois navigateurs internet : Chrome, Firefox et Safari. Ces navigateurs proposent des mots de passes générés automatiquement de façon aléatoire. L’objectif est d’évaluer le niveau d’adhésion des utilisateurs et ce qui explique du point de vue comportemental ce niveau d’adhésion. La principale raison, comme souvent dans le nudge, consiste à proposer un choix par défaut qui soit orienté sécurité utilisateur.

LIRE

SCIAM est aussi présent sur LinkedIn et Twitter. Rejoignez la conversation et interagissez directement en ligne avec nos experts.

Contribuons collectivement à la diffusion de contenus scientifiques.

Notre écosystème