Décidément, les Digital Natives n’en finissent plus de bousculer l’entreprise ! Les 18-25 ans semblent en effet aborder le monde de l’entreprise en général et celui de la sécurité de l’information en particulier avec une nonchalance qui confine, aux yeux des plus âgés, à de l’inconscience.

A écouter les RSSI les exemples affligeants ne manquent pas. Et aujourd’hui, c’est l’éditeur ESET qui apporte sa pierre à l’édifice en publiant les résultats d’une étude menée en Grande-Bretagne auprès de représentant de cette Génération Y. Bien que l’étude ne concerne que des jeunes britanniques, la tendance n’est probablement pas très différente par chez nous. Et les chiffres donnent à réfléchir…

70% des jeunes britanniques interrogés (de 18 à 30 ans) disent ne pas être conscients qu’un terminal piraté peut être utilisé pour mener d’autres attaques contre l’entreprise. La moitié ignore également que les informations volées pourraient être utilisées contre leur entreprise ou que des pirates pourraient vouloir revendre les informations professionnelles dérobées. Pire : 18% se disent convaincus que si leur terminal professionnel est volé, les auteurs n’y trouveraient aucune information exploitable contre l’entreprise…
Plus globalement un tiers des 18-30 ans interrogés se moque totalement de savoir quel impact pourrait avoir le vol, la perte ou le piratage de leur terminal.

Et ils ne cherchent pas franchement à s’informer non plus : 38% d’entre eux ne savent pas si leur entreprise dispose d’une politique de sécurité. Et parmi ceux-ci, un tiers ignore même ce qu’est une politique de sécurité et à quoi cela peut bien servir.

L’étude note également une tendance à prêter leurs terminaux professionnels (smartphone ou ordinateur portable) à des tiers hors de l’entreprise, notamment en famille ou a des amis. Et cela sans supervision, bien entendu. Cette tendance est même plus marquée parmi la tranche la plus jeune de cette Génération Y (les 18-24 ans).

L’on pourrait taxer une telle étude – et nous-même, au passage – de faire de l’âgisme. Ou de vendre de la peur (après tout ESET est un éditeur de solutions antivirus). Mais les RSSI que nous côtoyons régulièrement tiennent tous à peu près le même discours, même s’ils n’ont jamais pris la peine de mener une étude comme celle-ci.

Leurs récits disent la même histoire : une génération hyper-connectée et pourtant déconnectée des risques. De jeunes adultes particulièrement suspicieux, mais à leur façon (la peur du « fake » qui tourne à la paranoïa en ligne, la suspicion immédiate vis-à-vis des images et des vidéos trouvées sur le web, la mise en doute systématique des histoires jugées trop belles ou trop amusantes pour être vraies…). Bref, c’est bien mais ça ne sert à rien au quotidien dans l’entreprise… Et surtout la volonté de se comporter vis-à-vis des outils technologiques au bureau comme l’on est à la maison, en ignorant toute contrainte spécifique à l’information professionnelle et en se dressant contre toute mesure de sécurité considérée « liberticide » (un terme revenu à la mode dont beaucoup devraient cependant aller relire la définition avant d’hurler…)

Même les ressources humaines se sont mis au diapason, réalisant par exemple qu’interdire Facebook au bureau rendaient les recrutements plus difficiles… (l’on parle ici de non-spécialistes. Fort heureusement, des Gen-Y passionnés de sécurité, ça existe ! Mes étudiants en dernière année de cursus sécurité à l’EPITA se reconnaîtront, entre autres…)

En définitive on ne reproche pas tant aux jeunes gens de cette Génération Y de ne pas être des experts en sécurité de l’information. Après tout leurs aînés ne sont parfois guère plus doués… (certains de ces scores ne doivent d’ailleurs pas être très éloignés de ceux de quadras dans l’entreprise !). Le problème vient plutôt d’une vision asymétrique entre les notions de droits et de devoirs, et surtout de cette ultra-familiarisation avec les outils technologiques personnels et des mauvaises habitudes prises en grandissant avec. Leurs aînés étaient, quant à eux, moins pré-formatés et ils ont pu assimiler et accepter plus facilement les conseils SSI et les restrictions qui vont avec (et puis ils disposaient aussi de moins d’outils et moins de connaissances pour les contourner !).

Mais les vieux ont beau se lamenter, la Génération Y est là pour rester. D’autant que la suivante (la fameuse Génération Z) semble encore moins équipée en matière de SSI. C’est donc à l’entreprise – et notamment à son RSSI – de trouver une solution.

Outre l’éducation et la sensibilisation, celle-ci passera certainement aussi par la concertation : quels besoins fondamentaux ces nouvelles générations expriment-elles, et comment y répondre tout en satisfaisant les objectifs sécuritaires de l’entreprise ? C’est maintenant que tout reste à inventer… Des idées ?