Contactez-nous
-
sécurité

Back to Basics : Père Castor, raconte-moi l’acceptabilité psychologique

Back to Basics : Père Castor, raconte-moi l’acceptabilité psychologique

Sommaire

(ou pourquoi les castors contournent les consignes de cybersécurité)

Introduction

Ce soir-là, les petits castors s’étaient réunis autour du feu, comme à leur habitude.

Il faisait doux, les lucioles dansaient entre les branches, et les feuilles bruissaient doucement au-dessus de leurs têtes.

 Père Castor, raconte-nous une histoire ! demandèrent-ils en chœur.

 Oui, une histoire de cyber-sécurité ! ajouta le plus jeune, tout fier de savoir dire ce mot compliqué.

Père Castor ajusta ses lunettes, posa sa tablette en bois intelligent, et sourit.

Très bien, mes petits. Ce soir, je vais vous raconter l’histoire d’un castor très sérieux.

Il avait plein de bonnes idées, plein de règles, plein de procédures…

Mais personne ne l’écoutait.

Les petits castors ouvrirent de grands yeux.

 Comment ça, personne ?! Même si c’était important ?!

Père Castor hocha doucement la tête.

 Justement. Il avait oublié une chose… une chose essentielle : l’acceptabilité psychologique.

Car dans la forêt comme dans les systèmes d’information, ce n’est pas ce que tu interdis qui compte,
mais ce que les autres sont prêts à suivre.

Asseyez-vous bien, mes petits castors, et écoutez l’histoire du barrage aux mille règles...

Le barrage aux mille règles

Il était une fois un castor très appliqué nommé Cybrien.
Cybrien n’était pas un castor comme les autres : il ne construisait pas que des barrages, non.
Il construisait aussi des politiques de sécurité.

Et pas n’importe lesquelles !

Sur le tronc d’entrée du barrage était affichée une liste impressionnante de règles :

  • 🛑 Change ton mot de passe tous les 30 jours (et pas deux fois le même mot, hein !)
  • 🛑 Le mot de passe doit contenir
    • Un chiffre,
    • une lettre,
    • un hiéroglyphe,
    • la longueur du mot de passe en chiffres romains,
    • l’âge du capitaine
    • Un haiku
  • 🛑 N’ouvre aucun mail contenant des pièces jointes, même s’il vient de Maman !
  • 🛑 Pas de clé USB, pas de Bluetooth, pas d’amour.
  • 🛑 Authentification en trois étapes, sinon retour à la case départ.
  • 🛑 Interdiction d’utiliser un autre navigateur que CastorExplorer 2.1.
  • 🛑 Ne jamais se connecter à quoi que ce soit sans passer d’abord par 4 bastions sécurisés avec interaction humaine obligatoire

Ce que veut le cerveau, pas la machine

Cybrien était fier. Il pensait :

“Personne n’osera faire n’importe quoi maintenant. Le barrage est invincible !”

Mais la réalité était moins brillante.

Père Castor reprit son souffle, pendant que les petits castors se blottissaient dans les feuilles.

 Donc, Cybrien avait mis en place des règles très strictes.
Il était fier. Il avait verrouillé, filtré, interdit, compliqué… pour protéger tout le barrage.

Mais un matin, alors qu’il arrivait à son poste, il découvrit un mot glissé sous la porte de la salle des troncs :

« On ne peut plus travailler.
Trop de règles, trop de blocages.
On fait sans toi. Bonne chance. »

Et en effet : les utilisateurs avaient trouvé leurs propres solutions.

  • La loutre utilisait sa messagerie personnelle pour envoyer des documents sensibles.
  • Le raton-laveur partageait son mot de passe avec ses collègues parce que “ça va plus vite”.
  • Le hibou avait installé un VPN maison, “pour contourner le blocage”.
  • Le hérisson avait même contourné le barrage pour passer sans cet absurde mot de passe

Cybrien était furieux. Il pensait avoir tout bien fait. Il avait respecté les standards, les bonnes pratiques, les normes !

Et pourtant… personne ne suivait ses règles.

Ce n’est pas juste, grogna Cybrien. J’ai tout sécurisé. Et ils préfèrent risquer la forêt entière plutôt que faire ce que je demande.

 

Les petits castors, autour du feu, hochèrent la tête. L’un d’eux murmura :

 On dirait l’histoire de mon oncle qui a mis un mot de passe si long que plus personne n’a jamais rouvert sa boîte mail…

Père Castor sourit.

 Exactement, mes petits.
Et c’est là que Cybrien a compris :
il protégeait des machines, mais il oubliait les cerveaux qui les utilisent.

L’acceptabilité psychologique

L’acceptabilité psychologique, expliqua Père Castor, c’est ce qui fait que les gens suivent réellement une règle, et pas seulement qu’elle existe.

Et il détailla les grands principes de cette étrange magie :

1. Le cerveau cherche la voie la plus simple

Si c’est trop compliqué, on contourne.
Si c’est trop long, on retarde.
Et si on retarde… on oublie.

Un mot de passe à 14 caractères, changeable tous les mois, avec majuscule, symbole et hiéroglyphe ?
Les castors finirent par l’écrire… sur une écorce collée à l’écran.

2. Le cerveau rejette ce qu’il ne comprend pas

Cybrien pensait avoir tout expliqué.
Mais “ne jamais cliquer sur une pièce jointe suspecte” n’était pas clair pour tout le monde.

C’est quoi, suspect ? demanda la loutre.
C’est tout ce qui ressemble à une pièce jointe, rétorqua Cybrien.

Résultat : plus personne n’ouvrit aucun document. Même les bons.

Une règle floue, c’est comme une carte sans boussole, dit Père Castor. Tu fais plus d’erreurs en essayant de bien faire.

3. Le cerveau sature face à la surcharge cognitive

Quand tu demandes trop de choses en même temps, même si elles sont logiques…
Le cerveau se fige. Il panique. Il oublie.

Cybrien avait distribué un PDF de 23 pages à lire en cas de phishing.

En cas de doute, suivez la procédure du chapitre 3.1-B, page 14, annexe C.

Personne ne l’avait lu.

Quand un vrai mail suspect arriva, la plupart des castors… ne firent rien.

Un plan d’urgence inutilisable dans l’urgence… n’est pas un plan.
Il faut des règles digestes, pas une encyclopédie en panique.

4. Le cerveau résiste à ce qui heurte son identité

Un jour, Cybrien interdit l’accès aux fichiers du chantier sans autorisation explicite.
Le contremaître castor, là depuis 20 saisons, réagit mal :

Tu insinues que je suis un danger ?!

Il détourna les règles. Non pas par paresse, mais par fierté.

 Une consigne mal formulée peut réveiller un refus émotionnel.

Le cerveau ne suit pas ce qui lui donne le sentiment d’être infantilisé, exclu ou déconsidéré (principe de réactance).

 Pour être acceptée, une règle doit respecter la dignité de celui qui la reçoit.

Père Castor tapota la terre du bout de sa canne, en pointant chaque élément :

  • Si c’est trop compliqué → contourné
  • Si c’est trop flou → mal interprété
  • Si c’est trop lourd → ignoré
  • Si c’est mal formulé → rejeté

 Et pourtant, aucune de ces règles n’était “techniquement” mauvaise.
Elles étaient juste incompatibles avec le cerveau des castors.

 Pour qu’une règle soit efficace, elle doit vivre dans le cerveau de l’utilisateur, pas seulement sur le papier.

Une bonne politique de sécurité est comprise, admise, et appliquée sans douleur.
Et pour ça… il faut parler au cerveau avant de parler au système.

Des règles qu’on suit sans les fuir

Père Castor poursuivit son histoire, les petits castors silencieux, captivés.

 Après la débâcle, Cybrien se mit à observer. Il rangea ses procédures, déroula ses affiches, puis marcha dans la forêt pour écouter les autres.

Il vit la loutre frustrée parce qu’elle n’arrivait plus à envoyer les plans du barrage.

Il croisa le vieux blaireau, bloqué hors du système à cause d’une double authentification… qui dépendait d’un smartphone… qu’il n’avait pas.

Il entendit le jeune castor râler parce qu’avec la politique de mot de passe, il avait passé une heure à se reconnecter.

Et Cybrien comprit.

Il comprit que sécuriser ne voulait pas dire bloquer.

Et qu’aucune protection ne vaut l’indisponibilité du service.

 Il comprit surtout que rendre un système inutilisable, même pour de bonnes raisons, c’est exposer la forêt à d’autres dangers.

Il ne s’agissait plus d’écrire plus de règles, ni de les rendre plus sévères.
Il devait apprendre à les rendre acceptables.

Et alors, mes petits castors, Cybrien fit ce que peu de responsables sécurité osent faire : il remit ses règles en question.

Il retourna à la base.
Il observa.
Il écouta.
Et peu à peu, il comprit comment faire des règles que les autres pourraient suivre.

Clarifier l’intention

“Une règle claire est une règle suivie.”

Par exemple, à la place de :
“Aucune transmission non sécurisée ne sera tolérée”

préférez :
“Pour partager un document, utilisez la plateforme ‘TroncNet’, qui chiffre les échanges.”

Réduire la charge cognitive

“Si une règle demande 5 lectures pour être comprise, elle sera contournée.”

Cybrien remplaça ses 42 pages d’instructions par une fiche pratique :
“3 choses à faire si tu reçois un mail bizarre”

  • Regarder l’expéditeur
  • Ne jamais ouvrir la pièce jointe
  • Cliquer sur le castor 🦫 pour signaler

Intégrer la sécurité dans les outils

“Ce qui est invisible n’est pas oublié.”

Il fit ajouter l’authentification renforcée dans l’outil de gestion des stocks. Plus besoin d’appeler la DSI, ni de scanner un QR code depuis une autre machine.

Résultat : tout le monde s’y connecta.

Impliquer ceux qui vivent la règle

“Ce que tu écris pour eux, écris-le avec eux.”

Cybrien réunit des castors de terrain, des chouettes de la nuit, et même un hérisson du support.
Ils relurent chaque règle.
Ils en supprimèrent certaines.
Et en simplifièrent d’autres.

Privilégier l’éducation à la punition

“Un utilisateur corrigé peut devenir ton meilleur allié.
Un utilisateur puni devient ton plus grand risque.”

Plutôt que d’infliger des sanctions, Cybrien créa une newsletter :
“Les bourdes du mois”
Avec humour et anonymat, il racontait un incident… et comment l’éviter la prochaine fois.

Ne jamais bloquer la mission

“Protéger ne doit jamais empêcher d’agir.”

Un jour, la loutre reçut une alerte inondation… mais ne put transmettre les plans d’évacuation à cause d’un filtrage trop strict.

Ce jour-là, dit Père Castor, la sécurité devint le danger.

Cybrien corrigea.
Il mit en place des exceptions contrôlées, prévues à l’avance pour les situations critiques.

 

 Et c’est ainsi, mes petits, conclut Père Castor,

que Cybrien découvrit que la meilleure sécurité, ce n’est pas celle qui enferme…

mais celle qui accompagne.

Le barrage serein

Quelques lunes plus tard, les choses avaient changé au barrage.

On n’entendait plus râler devant les panneaux d’accès.
Les fichiers circulaient sans fuite.
Les castors travaillaient sereinement… protégés, sans s’en rendre compte.

Même le vieux blaireau avait arrêté de contourner les règles.

Il disait :

 Maintenant qu’elles me bloquent plus, j’veux bien les suivre.

La loutre avait pris l’habitude de cliquer sur le bouton 🦫 en cas de doute.

Et le jeune castor montrait fièrement sa fiche anti-hameçonnage à tous les nouveaux arrivants.

Et Cybrien ?
Il ne parlait plus de “conformité” ni de “politique imposée”.
Il parlait de coopération.
Et de sécurité vivante.

Il avait compris que sécuriser un système,
c’est aussi respecter les cerveaux qui l’utilisent.

Père Castor referma son carnet et regarda les petits castors, attentifs et rêveurs.

 Voilà, mes enfants.

La sécurité, ce n’est pas une affaire de mots compliqués ou de sanctions.

C’est une affaire de chemins accessibles, de confiance partagée, et d’un peu de bon sens bien taillé.

Il ajusta ses lunettes, se leva lentement, et dit enfin, avec un petit clin d’œil :

 Mais ça, mes petits castors… c’est une autre histoire.
Sébastien Ribiere Avatar

Sébastien Ribiere

Dossier

DÉCOUVREZ LES ARTICLES LIÉS

(String: sécurité)
  • Scanner les vulnérabilités de son site web
    sécurité

    Scanner les vulnérabilités de son site web

    (String: <h2 id="s-curiser-son-site-site-web-pourquoi">Sécuriser son site site web, pourquoi?</h2> <p>On pourrait se demander pourquoi perdre du temps à faire de la <a href="https://www.wescale.fr/secops" rel="noopener" target="_blank">sécurité sur un site</a> qui n’est peut-être qu’une vitrine.</p>)

    Héberger un site web est quelque chose de normal de nos jours. Je ne connais pas beaucoup d’entreprises qui n’ont pas de site Internet. Toutefois, cette ouverture sur le monde est aussi une porte d’entrée pour les pirates ! Aujourd’hui, je vous propose de découvrir (ou revoir) deux outils vous permettant de renforcer la sécurité de vos applications.

    Lire la suite

  • HashiCorp Vault
    sécurité

    HashiCorp Vault : le cookbook

    (String: <p>Si vous découvrez Vault, HashiCorp nous fournit une superbe documentation. En témoigne la prolifique section <em>Learn</em> du site, tenue à jour au fil des versions : <a href="https://learn.hashicorp.com/vault/">https://learn.hashicorp.com/vault/</a>. Je vous invite à vous y plonger sans retenue !</p>)

    Vault est un coffre fort qui permet de stocker ou de générer des secrets pour vos applications. Il peut aussi servir de service de chiffrement à la demande. Le tout est accessible par API REST de manière élégante et donc facilement intégrable dans votre SI.

    Lire la suite

  • Trivy, un scanner de sécurité couteau suisse - featured image
    sécurité

    Trivy, un scanner de sécurité couteau suisse

    Trivy, principes et objectif Trivy (prononcé “trivi”) est un scanner de sécurité Open Source développé par Aqua Security. Il est exploitable en CLI, mais son objectif est d’être mis en place au sein d’une CI.

    Lire la suite

Voir plus d'articles sur le cloud native