Le cerveau : l’angle mort en cybersécurité ?

14 mai

Aujourd’hui encore, l’écrasante majorité (95%) des cyberattaques sont permises par l’erreur humaine. Heureusement, les formations obligatoires pour les employés sont de plus en plus répandues dans les entreprises. Elles traitent des aspects techniques, mais aussi des malwares, des techniques de phishing et des comportements sécuritaires à adopter.

Malheureusement, il semble que très peu de formations (aucune ?) ne traitent de l’erreur humaine comme étant au cœur du sujet.

L’impact de l’erreur humaine en cybersécurité

L’erreur humaine est définie comme étant une action ou réponse inappropriée d'un être humain ou d'un groupe d’êtres humains qui entraîne ou pourrait entraîner un résultat non conforme à un attendu. Effectivement, dans le cas des cyberattaques, la brèche n’est jamais prévue par l’erreur humaine qui peut pourtant avoir des conséquences désastreuses.

Par ailleurs, 98% des cyberattaques incluent du Social Engineering, c'est-à-dire ces techniques de manipulation des personnes cibles grâce à la connaissance de leurs biais cognitifs. C’est ce qui amènera les victimes malgré elles à offrir l’accès aux données convoitées par les malfaiteurs !

Ainsi, la plupart des formations à la cybersécurité pour des employés traiteront entre autres de points importants comme : comment repérer les mails frauduleux, comment et pourquoi créer des mots de passe forts et encourager les gestionnaires de mots de passe, etc..

Malheureusement, malgré ces efforts de plus en plus grands face au quasi quadruplement des cyberattaques en 2022, plus d’un tiers des employés du Canada ne se sentent pas concernés par le vol de données, 20% convaincus de ne pas pouvoir être une cible de cyber criminel.

Les biais cognitifs

Les biais cognitifs représentant des erreurs de jugement fondées sur des heuristiques souvent valables dans des contextes très simples. Ces limites du cerveau deviennent d’autant plus fréquentes et exacerbées lorsqu’une personne a peu de temps, ou lorsqu'elle est stressée. C’est d’ailleurs pour cela que les cybercriminels utilisent parfois des mails frauduleux qui amènent un sentiment d’urgence, laissant l’utilisateur vulnérable à ses propres biais, et plus facilement berné par un mail piégé par exemple.

Les biais cognitifs semblent extrêmement importants à considérer à 2 niveaux :

Tout d’abord à la sensibilisation aux limites du cerveau et aux biais cognitifs de base exploités par les cybercriminels en social engineering. Effectivement, l’ascendant des cybercriminels est de savoir user de ces facteurs humains qu’ils connaissent pour atteindre leur proie. Donc ce niveau de connaissance de base devrait être traité en formation.
Ensuite la prise de conscience de responsabilité individuelle en cybersécurité.

Deux biais cognitifs favorisant le manque d’implication en cybersécurité

1) Le biais d’angle mort

Le biais d’angle mort consiste à penser que nous sommes moins biaisés que la moyenne. Mais les scientifiques ont pu prouver que 80% des gens se sentaient moins biaisés que la moyenne. En assumant une distribution normale, c’est statistiquement impossible. Autrement dit, on se croit jouir d’une immunité en cybersécurité qui n’existe pas. Après tout, les cyberattaques, “ça n’arrive qu’aux autres”...

2) Le biais de normalité

Le biais de normalité est celui qui pousse à croire que les événements futurs se dérouleront comme auparavant. Autrement dit : “ Puisque jusque-là tout va bien”, ça devrait bien se passer dans les mêmes conditions. Malheureusement, les évolutions exponentielles des risques cyber n’est pas prise en compte.

La cybersécurité est un enjeu majeur de notre société et du monde des entreprises. Il semble que la présence des sciences cognitives et les facteurs humains dans les formations pourraient :