Crédit : Rawpixel
Le National Cyber Security Centre (NCSC) du Royaume-Uni a exhorté les entreprises et les responsables de la sécurité à faire de l’accessibilité une priorité en matière de cybersécurité afin de rendre les systèmes plus sûrs et les erreurs humaines/solutions de contournement moins probables.
Selon le NCSC, cela peut également aider à répondre aux exigences légales, à obtenir de meilleurs résultats opérationnels et à attirer et retenir des talents plus diversifiés.
Cependant, il existe divers exemples de cybersécurité présentés d’une manière inaccessible pour de nombreuses personnes, en particulier pour les personnes handicapées, a écrit le NCSC dans un nouveau message sur son site Web. Cela a des effets négatifs sur les entreprises et les employés, notamment en rendant les systèmes moins sécurisés, en entravant la sensibilisation à la sécurité et en limitant l’accès à diverses compétences.
Il est donc essentiel que les entreprises et les responsables de la sécurité reconnaissent et répondent à la nécessité de considérer l’accessibilité comme une exigence de sécurité qui peut aider les organisations à maîtriser leur cyber-risque humain tout en cultivant une culture plus inclusive et en se permettant de faire le la plupart d’un vivier de talents plus diversifié.
Facteurs qui rendent la cybersécurité inaccessible
La cybersécurité peut souvent être inaccessible de plusieurs façons, lisez l’article. Ceux-ci incluent :
- Les campagnes de sensibilisation, les formations ou les politiques de sécurité qui ne sont pas présentées dans des formats accessibles ou rédigées dans un langage simple et accessible laissent les employés sans les connaissances nécessaires pour effectuer leur travail en toute sécurité.
- Des interfaces compliquées, des boutons mal étiquetés, un texte de lien ambigu ou des avertissements uniquement audio/visuels augmentent le risque d’erreurs humaines.
- Schémas de couleurs « rouge pour risque élevé » et « vert pour sécurité » qui peuvent être inappropriés pour les personnes daltoniennes.
- L’absence de commentaires accessibles ou de messages d’erreur lors d’une modification de configuration peut conduire à supposer à tort que vous avez mis en place un contrôle de sécurité alors que ce n’est pas le cas.
- La sécurité qui supprime la fonctionnalité d’accessibilité peut obliger les utilisateurs à adopter une solution de contournement moins sécurisée ou à éviter complètement de faire leur travail.
- Les inquiétudes concernant la rupture de compatibilité avec les technologies d’assistance ou la modification des stratégies d’adaptation peuvent empêcher les utilisateurs de mettre à jour les systèmes.
- S’il n’y a pas de moyens accessibles de récupérer des erreurs ou d’accéder à l’assistance, ce qui aurait pu être un « quasi-accident » peut rapidement se transformer en incident grave.
Concevoir la sécurité pour les personnes handicapées augmente la convivialité
« Tout le monde en profite lorsque des systèmes sont déployés dans lesquels l’accessibilité est intégrée », a déclaré le NCSC. Cependant, les gens peuvent rencontrer divers obstacles qui affectent la façon dont ils accèdent à l’information – certains permanents, temporaires et situationnels.
« Dans tous les cas, concevoir pour les personnes handicapées rend les choses plus utilisables pour tout le monde. Nous rencontrons tous des limitations basées sur notre environnement qui signifient que la sécurité ne fonctionne pas pour nous de la manière pour laquelle il a été conçu. Si cette sécurité a été conçue en gardant l’accessibilité à l’esprit, elle sera plus résistante au fonctionnement tel qu’il est réellement fait et moins susceptible d’échouer. »
De plus, la formation à la sécurité n’est pas une solution miracle, a déclaré le NCSC. « Lorsque les gens se comportent de manière précaire, la tentation est de les traiter comme nous traitons la technologie. Nous les « corrections » en les envoyant suivre une formation, dans l’espoir que cela résoudra la « vulnérabilité » du système. »
La formation n’est efficace que lorsque le problème est un manque de connaissances, mais si le problème est un manque d’accessibilité, la formation n’est pas la solution. «Les gens contourneront la sécurité pour faire leur travail si vous les faites. La sécurité elle-même doit être rendue plus accessible. »
Comment rendre la cybersécurité plus accessible
Les entreprises peuvent faire trois choses essentielles pour rendre la cybersécurité plus accessible, selon le NCSC. Celles-ci se concentrent sur l’engagement, la flexibilité et font de l’accessibilité une exigence plutôt qu’un problème distinct.
« La meilleure façon de rendre la sécurité plus accessible est de dialoguer avec les personnes qui interagissent avec elle. Consultez vos collègues dans vos processus de prise de décision en matière de sécurité et encouragez les commentaires. Testez de nouveaux systèmes et processus avec des personnes ayant des besoins d’accessibilité pour découvrir où les problèmes pourraient exister. »
Si des collègues ont besoin d’accéder à des fonctionnalités ou à une technologie spécifiques qui pourraient autrement enfreindre les politiques de sécurité, travaillez avec eux pour comprendre leurs besoins et gérer les risques, a déclaré le NCSC. Lorsqu’il n’est pas approprié de modifier l’intégralité d’une politique, mettez en place un processus permettant aux personnes de soulever des problèmes.
« Travailler en collaboration pour faire des exemptions raisonnables et gérer tout risque associé vaut mieux que de forcer les gens à éviter la sécurité ou à souffrir parce qu’ils ne sont pas assez à l’aise pour soulever un problème. »
Les entreprises n’ont pas besoin de diluer leurs exigences en matière de sécurité pour atteindre l’accessibilité, mais elles doivent être ouvertes à différentes manières de réaliser ces exigences. « Par exemple, imaginez que vous avez identifié un actif qui nécessite une authentification multifacteur (MFA). Il n’existe pas de méthode MFA « universellement accessible ». La méthode préférée d’une personne peut être un obstacle pour une autre. La clé ici est d’offrir suffisamment de flexibilité pour que les gens puissent choisir une approche qui fonctionne pour eux et leurs besoins. »
Fournir cette flexibilité a un avantage secondaire en ce sens qu’il améliore la résilience des systèmes, car si une méthode d’authentification devait échouer, une méthode alternative peut fournir une sauvegarde pour minimiser les pertes commerciales, selon le post.
Enfin, traiter la convivialité et l’accessibilité parallèlement à d’autres exigences de sécurité plutôt qu’une chose distincte est utile pour s’assurer qu’elles sont prises en compte, a déclaré le NCSC. « Prenez le temps d’examiner quelles actions auraient le plus grand impact si elles étaient menées de manière non sécurisée ou évitées, puis testez leur accessibilité. »
Faites preuve de diligence raisonnable en demandant aux vendeurs ou fournisseurs une déclaration d’accessibilité pour leurs produits, ou intégrez une exigence d’un certain niveau de conformité par rapport à un cadre ou à une norme telle que Règles pour l’accessibilité des contenus Web (WCAG), a conseillé le NCSC.
Les conseils d’accessibilité en matière de cybersécurité du NCSC sont un « excellent point de départ »
Les conseils d’accessibilité à la cybersécurité du NCSC sont solides et les organisations de toutes tailles devraient envisager de les mettre en œuvre, non seulement pour les personnes handicapées, mais pour aider tout le monde sur le lieu de travail, en particulier en ce qui concerne la formation de sensibilisation à la sécurité, Lisa Ventura, fondatrice de Cyber Security Unity, conseiller en diversité et inclusion, raconte CSO.
« Il n’existe pas d’approche unique en matière de cybersécurité, et comme l’indique l’article du NCSC, tout le monde bénéficiera du déploiement de systèmes intégrant l’accessibilité. »
L’exemple fourni par le NCSC de la restauration de trois collègues dont l’un est sourd, l’autre a une otite et l’autre travaille dans un environnement bruyant sans accès à des écouteurs souligne l’importance de répondre aux besoins spécifiques de chacun, ajoute-t-elle.
« En se concentrant sur la satisfaction des besoins d’accessibilité d’un collègue sourd, les solutions fonctionneront et s’adapteront mieux à tout le monde. »
L’accessibilité doit être au cœur de tout ce que font toutes les organisations pour être aussi inclusives que possible, déclare Ventura. « Si vous avez des mesures de sécurité dans votre organisation qui ne sont pas accessibles, vos systèmes seront beaucoup plus difficiles à utiliser pour tout le monde. Les conseils fournis sont un excellent point de départ et j’espère qu’ils seront mis en œuvre par les organisations, quelle que soit leur taille. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
