La cybersécurité à la lumière des approches cognitives

L’erreur humaine structure l’activité des hackers. Pour certains, identifier les causes profondes de ces fragilités passera par l’usage de la psychologie sociale et le développement conséquent d’un pendant cognitif de la cybersécurité.

PAR ALEXIS PAPIN

L’erreur humaine: défi majeur

En janvier 2022, le Global Risks Report du World Economic Forum estimait que l’avenir de la cybersécurité passerait par la prise en charge des erreurs humaines, alors à l’origine de 95% des failles exploitées.¹ 2023 ne dérogera pas à la règle : la gestion de ces erreurs reste le défi majeur de la sécurité des systèmes d’information. Une réalité bien connue par les acteurs du domaine, institutionnels ou privés, qui ne peuvent pourtant pas nier qu’aujourd’hui persiste la dissonance entre le combat à mener sur le plan de l’humain et les réponses globalement techno-centrées. Face au développement de l’ingénierie sociale, la prise en compte des failles psychologiques des organisations doit faire l’objet d’une priorité absolue. La réponse technologique démontre ses limites. « Tant que les organisations parleront de « maillon faible », de « vulnérabilités humaines », de « risques cognitifs » sans jamais définir ces expressions et encore moins expliquer les causes psychologiques profondes qui les sous-tendent, la « scamdémie mondiale » continuera d’accélérer… » déclare Bruno Teboul, entrepreneur du numérique et spécialiste en sciences comportementales.

Montée en gamme de l’ingénierie sociale

Bien plus rentables que les failles techniques, les cyberattaquants exploitent des biais cognitifs bien identifiés, qui constituent autant de points d’accès privilégiés vers les systèmes d’information. « Si ces biais sont bien connus depuis les années 1970, nous pouvons déplorer leur application à la cybercriminalité. » explique Bruno Teboul. Et de préciser : « Plusieurs biais cognitifs principaux sont exploités par les cybercriminels. Parmi eux, le biais d’autorité, reposant sur la sensibilité des individus à la hiérarchie ; le biais d’empathie s’appuie sur la confiance accordée aux profils bienveillants, chaleureux et attentionnés ou encore le biais de rareté repose sur la sensibilité à l’urgence et est donc exploité pour faire succomber la victime à l’escroquerie au plus vite. » Pour comprendre pourquoi malgré toutes les actions mises en oeuvre et les technologies déployées, le phénomène persiste, il faut revoir le diagnostic portant sur les vulnérabilités humaines sur le long terme au sein des organisations. « Il faut connecter l’analyse de certains biais cognitifs connus de la littérature et des hackeurs à des traits de personnalité, qui traduisent un état psychologique défini comme le stress, la vigilance, la charge cognitive, mais aussi, la tentation de l’appât du gain (l’avidité), la curiosité (indiscrétion)… » ajoute Bruno Teboul. Des biais cognitifs qui malgré les protections et les sensibilisations et formations, feront réussir l’attaque cyber. « Certains utilisateurs peuvent recevoir des mails malveillants qui leur proposent de se connecter à un service de partage de fichiers, afin de découvrir les bulletins de salaires des collaborateurs de leur entreprise. Ils sont ainsi incités à se connecter dans un délai limité en général très court (48 heures) ce qui renforce et conditionne une prise de décision rapide et attise davantage la curiosité.La curiosité est une attitude complexe. Les personnes curieuses veulent savoir ce qu’elles ne savent pas encore (logique). Ne pas savoir crée une frustration. Mais lorsque l’on sait que cette curiosité peut être assouvie et que la réponse est accessible, à portée de main, alors c’est une expérience beaucoup plus positive de la curiosité que vous abordez.C’est ce qui se produit quand on reçoit ce type d’email « malveillant » : le désir de savoir combien gagne les autres salariés de son entreprise est certes indiscret, contestable et sans doute illégitime, mais la curiosité exacerbée ne peut être qu’assouvie et finit toujours par l’emporter sur le comportement (non-rationnel) de l’utilisateur… » détaille Bruno Teboul. « Nous assistons aujourd’hui à une montée en gamme des attaques notamment sur le plan des attaques personnalisées, qui ciblent de mieux en mieux les victimes et sont un moyen efficace de gagner la confiance d’une personne identifiée » précise le docteur en psychologie sociale et cognitive Romain Bouvet. Selon lui, « les entreprises sont si peu protégées sur le plan humain que des méthodes basiques suffisent aujourd’hui, l’emploi de deepfake ou de la modification de voix ne sont pas encore nécessaires, ce qui rend l’activité rentable pour les hackers. En réalité, en réduisant le risque humain, la plupart ne pourront plus opérer car tous ne disposent pas des compétences techniques suffisantes pour trouver des failles technologiques. »

Adresser des menaces évolutives à partir de la psychologie

Face à la spécialisation des hackers, l’heure est à la Cyber Threat Intelligence. La veille et la modélisation permettent d’identifier quotidiennement les failles exploitées par les cybercriminels. Un travail assuré par des agences nationales qui alertent régulièrement sur de nouveaux types d’attaques à contrer à l’image du National Cyber Security Centre finlandais, de l’Australian Cyber Security Centre, ou encore de la Cybersecurity and infrastructure security agency étasunienne qui communiquent sur l’évolution des menaces qui frappent l’espace cyber, y compris concernant les techniques d’ingénierie sociale qui ciblent directement les failles psychologiques. Les milieux universitaires contribuent désormais à faire le pont entre la connaissance technique des systèmes d’information et les sciences humaines. La Cyber Security Academy del’Université de Southampton travaille notamment en collaboration avec le National Cyber Security Centre britannique.

Pour permettre aux nouvelles générations de RSSI de traiter ces enjeux, les formations s’adaptent. Désormais, des enseignements de sociologie et de psychologie sont dispensés pour fournir une approche holistique des questions de cybersécurité, plus proche de la réalité du terrain.²

Bruno Teboul prône pour la définition de « psychotypes » afin de pouvoir effectuer une analyse fine des individus qui composent les structures et ainsi adresser les menaces en fonction leurs besoins réels. Il propose la mise en oeuvre d’un neuro cyber framework s’inspirant des recherches en psychologie cognitive sur la personnalité dominées par le« Framework Big 5 » de la personnalité (Ouverture, Conscience, Extraversion, Agréabilité, Neuroticisme) auquel il ajoute 3 critères supplémentaires : auto-efficacité, formation et expertise. « Ce framework une fois développé dans sa version « progicialisée » pourrait servir de test de référence pour toutes les organisations qui souhaitent évaluer le risque psychologique de leurs collaborateurs en simulation de cyberattaques par ingénierie sociale.J’invite le gouvernement, les ministres concernés, le Campus Cyber, l’ANSSI, à mettre en place des tests d’évaluation cognitive fondés sur la neuropsychologie » insiste-t-il.

La sensibilisation connait elle aussi un renouveau à l’aune des approches méta-cognitives. « En 2h seulement, le salarié peut se mettre à la place de l’attaquant et comprendre les biais exploités, ce qui est particulièrement efficace pour créer une vigilance durable notamment pour les postes sensibles des entreprises. » développe Romain Bouvet qui a fait sienne la mission de sensibiliser les salariés à la neuro-cybersécurité.

Vers un management cognitif ?

Parmi les grandes tendances cybersécurité de 2023, Gartner prévoit le tournant de l’industrie de la cybersécurité vers le facteur humain pour enfin reconsidérer les conséquences directes du stress sur l’architecture de sécurité des organisations. « La raison première pour laquelle un employé agit de façon non sécurisée est l’optimisation de son temps, (…) les besoins commerciaux l’emportent sur le risque. »³ explique le cabinet de conseil. Volontiers exploité par les cyberattaquants, le stress joue comme un nouveau facteur aggravant dans les architectures de sécurité des organisations. Un fléau qui obtiendra une réponse dans les modes de management émergents, à la lumière des enseignements des sciences cognitives et comportementales. Ce virage est déjà opéré notamment dans le management public à l’occasion du programme « Fonction Publique + » lancé par le ministre de la Transformation et de la Fonction Publiques, Stanislas Guérini. Portée par la direction interministérielle de la transformation publique, la formation « Travailler autrement » publiée en février, met les approches cognitives en avant et donne le la du management de demain : maîtrise des temps de travail, prise de conscience des biais qui influencent nos jugements, ou encore stimulation de la confiance dans les équipes sont à l’honneur.

Les sciences humaines et sociales pourraient s’avérer un nouvel atout maître en matière de cybersécurité. A l’heure du tout technologique, les explorateurs de la conscience humaine et de la psychologie cognitive pourraient bien « contribuer à l’avènement d’une société numérique plus résiliente, plus sûre, plus éthique et à visage humain » conclut Bruno Teboul.

1^ « Global Risks Report 2022 », World Economic Forum, 11 janvier 2022.

2^ « Cyber Security Academy of University of Southampton », University of Southampton.

3^ « Predicts 2023: Cybersecurity Industry Focuses on the Human Deal », Gartner, 25 janvier 2023.