Faut-il plus de « bien-être numérique » pour mieux sensibiliser à la cybersécurité ?

Notre chroniqueuse Diane Rambaldini explore le concept souvent mal employé de « bien-être numérique » et s’interroge sur l’impact qu’il peut avoir sur la sensibilisation des collaborateurs aux enjeux de cybersécurité

C’est au festival des pédagogies numériques en Belgique, à l’occasion d’un atelier de co-construction, que j’ai été saisie par le concept de « bien-être numérique », m’emportant dans un tourbillon de réflexions. L’atelier façon « feu de camp » auquel je participais avait pour objectif de nous faire réfléchir aux éléments favorisant le bien-être numérique au sein des familles. C’est incroyable comme l’utilisation d’un concept tourné vers l’émotion (le bien-être) a pu rendre les participants prolixes ! C’est en écoutant les témoignages et les pistes proposées qu’une évidence m’est apparue : Ne pourrait-on pas expliquer certains échecs de la sensibilisation à la cybersécurité par un problème racine : celui du mal-être numérique, entraînant dans son sillage un blocage, de fait, à la question de la sécurité ?

Mais, qu’est-ce que le « bien-être numérique » ?

Comme celui de « sécurité », le concept de bien-être numérique est du ressort du sentiment. On l’atteint quand on réussit à trouver un équilibre, c’est-à-dire qu’on parvient à donner à ses outils numériques et à ses usages leur juste place, en nous procurant quelque chose de positif. Si on se rattache à la définition de l’OMS , le bien-être doit se mesurer physiquement, mentalement et socialement.

En évoquant le bien-être numérique, on pense du tac-o-tac au droit à la déconnexion, consacré par le droit du travail (et à la digital detox), souvent présentées comme LES solutions pour atteindre le « nirvana numérique ». Vous avouerez que considérer le bien-être numérique par sa seule absence prête quand même à sourire, autant que de ne la concevoir que par la seule hypothèse de l’hyperconnexion.
Le concept me semble bien plus large, complexe et moins binaire que ça et l’atelier évoqué plus haut en a été la parfaite illustration.

Des recherches ont d’ailleurs été menées, accouchant d’une définition scientifique de ce « bien-être numérique » :

“Le bien-être numérique est une expérience individuelle subjective d’équilibre optimal entre les avantages et les inconvénients liés à la connectivité mobile. Cet état expérientiel est constitué d’évaluations cognitives et affectives à propos de la manière dont s’intègre la connectivité dans la vie ordinaire. Les gens atteignent le bien-être numérique quand ils font l’expérience d’un maximum de plaisir contrôlé et de support fonctionnel grâce aux outils technologiques, tout en limitant la perte de contrôle et la détérioration des performances (troubles fonctionnels). ”  – Vanden Abeele (2021).

Quelle place au bien-être à l’heure de la sacro-sainte transformation numérique ?

Ce qui a fait de cet atelier un moment d’intense apprentissage ce sont les participants, des parents et des professeurs pour l’essentiel qui ont expliqué leur rapport au numérique. Libérés des enfants et de tout rapport hiérarchique, ils ont expliqué à grands coups d’exemples leur profond mal-être. Ce qui m’a frappée c’est que de jeunes professeurs ou parents, n’ayant pas atteint trente ans étaient tout aussi mal lotis que leurs homologues vingt ou trente ans leurs aînés.
Petit florilège de leurs ressentis.

« Je suis totalement terrifiée quand j’utilise mon ordinateur. Même avec Canva qui n’est pas sorcier, j’ai toujours peur de faire une bêtise, de cliquer où il ne faut pas. Il y en a partout ! Je n’ai jamais appris. Je l’utilise par la force des choses, mais qu’est-ce que je suis contente quand je ferme mon PC. Ça me stresse au plus haut point. »

« Je n’ai pas été élevée au milieu d’outils numériques comme chez certains de mes amis. Je ne jouais pas aux jeux vidéo quand j’étais petite. J’utilise un ordinateur, j’ai 23 ans mais je me sens totalement dépassée… »

« Je déteste ça. Quand je scrolle comme ça sans but précis totalement absorbé, il m’arrive de réaliser au bout de plusieurs minutes que je lève (enfin) les yeux parce qu’en réalité, ça fait 4 fois que mon fils m’appelle. Il a 4 ans. »

« J’aimerais avoir la liberté de dire non, de pas utiliser l’outil numérique. J’aimerais pouvoir me former aux nouvelles technologies, sans me sentir oppressé, et qu’on m’autorise à faire des erreurs »

Vous pouvez en juger, il n’est pas question ici de temps d’écran, de trop ou de pas assez, d’usages numériques, de savoir se sécuriser ou pas, mais de choses beaucoup plus basiques : celle de savoir utiliser l’outil, d’en comprendre le sens et le fonctionnement, de saisir l’objectif de sa conception, de savoir comment le manipuler et d’en maîtriser les fonctionnalités ; en bref, d’être à l’aise avec, indépendamment de sa durée d’utilisation.

Des collaborateurs toujours ouverts et disponibles pour la transformation ?

Plusieurs questions me taraudent.
• Combien de collaborateurs tenus par des outils professionnels et des applications métiers, évoluant dans des structures qui portent fièrement en étendard leur projet de transformation numérique partagent ce ressenti ?
• Est-ce une pratique dans les organisations privées et publiques de jauger le rapport de leurs collaborateurs avec leur environnement numérique, au-delà du help desk qui collecte les doléances liées à des bugs ? Ce sujet est-il pris en compte par les équipes gérant la QVT ?
• Sont-ils nombreux les collaborateurs qui vivent de telles difficultés, à avoir le courage de dire qu’ils se sentent dépassés, sans avoir peur de ce qu’on pourrait penser d’eux ?

Y répondre supposerait un baromètre exhaustif, mais ce que je constate à mon niveau, c’est que rares sont les organisations qui s’en soucient. La transformation numérique brandie par de nombreuses organisations et ce jusqu’au plus haut niveau de l’État est souvent décrite comme la promesse de la performance, de l’innovation et de la compétitivité. Sorties de la sécurité et de protection des données, les garanties ne portent presque pas sur le niveau d’adhésion des collaborateurs. Peur de perdre du temps, de l’argent, de se perdre en conjectures… autant de raisons de ne pas demander aux collaborateurs (et même aux clients) ce qu’ils en pensent, ce qui peut s’entendre, mais qui peut avoir un effet pervers.

En effet, tout comme l’État l’a fait dans ses projets de dématérialisation, les organisations en général partent du postulat que leurs collaborateurs sont disponibles et ouverts à ces projets de transformation. Pour ce qui est de l’État, cela a donné lieu en 2020, à un rapport décapant du Sénat sur l’exclusion sociale du fait du numérique.

Sans parler d’adhésion, les collaborateurs sont-ils au moins formés à maîtriser l’environnement numérique imposé par leurs organisations ? Sont-ils accompagnés humainement pour être parfaitement à l’aise avec ces outils numériques ?
Et je ne parle pas de tutoriels vidéo accompagnés d’un chat box ou d’une FàQ, mais de formations telles qu’on pouvait les vivre dans les 80 ou 90s pour appréhender des suites bureautiques comme Word ou Excel.

Récemment, j’ai demandé un service à mon cabinet comptable qui m’a gentiment répondu qu’il me suffisait pour cela de le faire moi-même dans le logiciel à ma disposition…. dixit l’employé qui a un diplôme de comptabilité en poche, 15 ans d’expérience derrière lui et qui connaît les tenants et aboutissants du sujet. Rigolade. En ne s’assurant pas que j’avais la base de connaissances nécessaire pour non seulement comprendre et traiter moi-même ma demande, il a créé une impasse, en plus de faire passer sa cliente pour un cancre. Voilà qui prouve que les outils doivent également être proposés en adéquation avec les besoins et le background des utilisateurs.

Quel rapport entre mal-être numérique et échec de sensibilisation cyber ?

Face à ce mal-être numérique, à l’instant décrit, comment imaginer que les personnes qui en souffrent soit touchées par la grâce de la sensibilisation en cybersécurité, aussi géniale soit-elle ? Comment peuvent-elles se trouver dans des dispositions favorables pour intégrer voire même comprendre sereinement des règles de cybersécurité concernant les outils qui les empoisonnent ? N’est-ce pas presque encourager un syndrome de Stockholm numérique manifesté par un total lâcher prise ?

Rappelons que sensibiliser les collaborateurs, c’est rechercher la façon de les faire changer de comportements et les faire adopter de bonnes pratiques.

En le faisant auprès de cette population fragile, et si tant est que la communication des règles se fasse avec tact et sans brutalité, le mal-être numérique s’en trouve renforcé, augmentant à deux titres le niveau d’angoisse : non seulement celui lié à la manipulation de l’outil (en ajoutant des actions à faire, pas toujours explicitées) et celui lié à la perspective des dégâts que l’utilisateur peut causer s’il ne les respecte pas. Et si la communication de ces règles se fait à coups de menaces de sanctions, ce n’est plus du mal-être mais une plongée en enfer numérique pour le collaborateur. Avec le risque que celui-ci s’enferme dans cette situation. Et quel meilleur mécanisme de défense que la politique de l’autruche ?

Je me demande à quel point les utilisateurs démissionnaires, imperméables, voire jm’enfoutistes aux programmes de sensibilisation, ne cachent pas en leur rangs des collaborateurs en situation de rupture avec le numérique. L’absence de bien-être numérique m’apparaît en effet comme une hypothèse intéressante pour expliquer ces comportements.

Avoir un détachement extrême avec les conseils de prudence, prendre des risques sciemment, ne pas remonter des incidents pourtant détectés, sont autant de comportements éventuels dus à ce mal-être, assez désastreux quand aucune échappatoire ne semble se présenter au collaborateur.

Vous aurez donc beau faire les plus belles campagnes de sensibilisation, si l’adhésion nominale et la maîtrise à l’outil sont défaillantes, ça ne marchera pas à mon sens.

Un nouveau champ exploratoire pour changer les comportements

Travailler sur les indociles à la sécurité, suppose d’abord que la question du bien-être numérique soit considérée par les organisations. Cela suppose ensuite d’évaluer les ressentis de ses collaborateurs, en y impliquant le maximum de managers.
– « Toi, collaborateur, es-tu serein et à l’aise avec tes terminaux numériques, tes logiciels et autres applications (avant même de parler des outils de sécurité) ? »
– « As-tu compris à quoi ils servent ? Répondent-ils à tes besoins et pourquoi ? »
– « Sais-tu t’en servir comme tu le souhaites ? As-tu développé toute l’habilité dont tu penses avoir besoin ? »
– « Comment te sens tu au moment de les utiliser, mais également, après ? »
– « Te sens-tu armé pour les sécuriser et protéger tes données ? »
– …

Faire changer les comportements suppose aussi de retravailler le lien entre les services numériques et le collaborateur. Cela passe par expliquer l’univers numérique par le bénéfice réel qu’il peut en tirer. Le numérique se réinscrit alors dans un objectif personnel ou professionnel, et reprend naturellement sa juste place de « serviteur » et non de « maître ». Une fois son bénéfice entendu, l’utilisateur sera naturellement plus engagé dans la sécurité de ses outils et de ses données.

Au-delà du bénéfice, il y a aussi la question de la gestion de l’ego. On oublie trop souvent que l’être humain veut comprendre les choses, parce qu’il a intrinsèquement besoin de contrôler son environnement et son destin. Si son incompréhension est poussée à son paroxysme, l’être humain se sent perdu et trop d’incertitudes profondes peuvent « tuer » son égo, l’ébranler et le dévaloriser, d’où l’adoption en réaction d’éventuels comportements dangereux.
Le piège de la facilité qu’offre certains outils peuvent d’ailleurs s’avérer mauvais pour l’égo des utilisateurs. La satisfaction provient souvent d’un effort que l’on fait. A trop vouloir faciliter, à trop vouloir faire faire, un certain désengagement peut naître du fait des usages numériques. Malheureusement l’ère de la sécurité transparente n’étant toujours pas d’actualité, cela va à l’opposé de l’engagement recherché dans la sensibilisation en cyber, où la passivité n’a que peu de place.

C’est aussi pour ça que l’appréhension du bien-être numérique par le seul prisme du temps d’écran peut avoir ses limites. Il convient par exemple de faire la différence entre un collaborateur/utilisateur passant 3h30 d’affilée sur un réseau social pour servir son bénéfice (recherche ciblée, prospection, etc.), d’un collaborateur/utilisateur happé par la machine scrollant sans but, ni même vraiment celui de se divertir ; ou encore d’un collaborateur/utilisateur fuyant les réseaux sociaux de peur de ne pouvoir les utiliser correctement. Pas certaine que ces trois profils aient besoin des mêmes leviers de sensibilisation à la cybersécurité.

C’est apparemment ce qu’a fait la fonctionnalité « Bien-être numérique » de Google, si on l’en juge la teneur des commentaires dans les stores. Installée depuis 2018 sur les smartphones Android, elle cherche à aider les utilisateurs hyperconnectés à décrocher (Colorisation en gris des réseaux sociaux, fermeture d’application, coupure des notifications, régularisation du temps, etc.). Résultat : une déferlante de critiques. « Intrusive », « infantilisante », « sans concession » « ultra énervante », et même pousse au crime, si l’on en croit certains utilisateurs.

Comme nous le faisons à l’ISSA France pour les jeunes, et ce sera la conclusion de cette réflexion, le bien-être numérique ne peut se fonder que sur les propres choix des collaborateurs. C’est une chose de leur donner des clefs de compréhension et de réflexion pour qu’ils façonnent leur bien-être et leur protection numériques, c’en est une autre de leur dicter leur conduite. S’ils veulent mieux vivre le numérique (c’est une certitude), ils ne veulent y parvenir que par eux-mêmes, avec un peu d’aide, mais en conservant leur indépendance et leur liberté d’action.
Une savante recette à peaufiner pour les organisations…