Pourquoi la psychologie est si importante pour une cybersécurité efficace


Stratgie

le 20 Juillet 2023

Plutt que de considrer les employs comme le maillon faible, les CISO doivent y voir un vecteur d’attaque comme un autre, et les aider mieux apprhender leur rle dans la scurit.

Comprendre le fonctionnement de l’esprit humain peut aider lutter contre les mfaits de l’ingnierie sociale, en renforant la lutte contre l’hameonnage et d’autres techniques de manipulation de l’esprit frquemment utilises par les cybermalfaiteurs.

Erik J Ils s’appuient sur des statistiques montrant que la plupart des violations de donnes sont dues une erreur humaine les pirates informatiques ne veulent pas s’attaquer votre pare-feu pas quand ils peuvent exploiter la plus grande vulnrabilit de tous les rseaux de la plante l’heure actuelle mais quand (ou une variante de cette formule) peuvent en fait faire plus de mal que de bien D’une part, peu de personnes sont formes cette discipline. La cyberpsychologie, qui s’intresse la faon dont l’esprit ragit lorsque les gens interagissent avec la technologie, est encore un domaine relativement nouveau, explique Lee Hadlington. En outre, tous les cyberpsychologues et tous les programmes de cyberpsychologie ne se concentrent pas sur la cyberscurit. Les RSSI qui travaillent dj avec des budgets restreints n’ont peut-tre pas les moyens de financer un tel poste.Nanmoins, l’intrt et l’information sur l’intersection de la psychologie et de la cyberscurit se rpandent. Lee Hadlington adopte une approche de formation des formateurs. Erik Huffman effectue des recherches et donne des confrences sur le sujet. Par exemple, le SANS Institute, un organisme de formation, organise un sommet sur la gestion des risques humains en aot 2023, qui abordera en partie le facteur psychologique.Inclure la psychologie dans le dpartement SSISelon les experts, les RSSI peuvent apprendre intgrer la psychologie dans leurs programmes de scurit afin de renforcer l’efficacit de leur travail. Pour commencer, Lee Hadlington et Erik Huffman recommandent tous deux aux CISO de communiquer davantage. Ils devraient demander aux employs o ceux-ci se heurtent aux contrles de scurit, pourquoi ils contournent les politiques de scurit, pourquoi ils ont cliqu sur le lien d’une escroquerie par hameonnage simule (ou relle) ou encore ce qui les motiverait se soucier davantage de la scurit. Ils doivent ensuite s’attaquer ces lments humains.Les RSSI devraient galement donner aux employs les moyens de rsoudre leurs problmes et leur expliquer clairement comment ils font la diffrence en matire de scurit. Cette boucle de rtroaction est vraiment essentielle, explique Lee Hadlington. Les collaborateurs veulent savoir pourquoi ils font cela. Qu’est-ce que j’y gagne ? Est-ce que j’aide l’organisation ? Ce que je fais est-il efficace ? En outre, M. Huffman indique que les RSSI peuvent collaborer avec leurs services marketing pour apprendre les techniques permettant d’influencer les comportements. Et, tout comme le marketing personnalise les messages qu’il envoie son public, Erik Huffman estime que les dpartements SSI peuvent personnaliser la sensibilisation et la formation la scurit.S’attaquer aux problmes qui crent un tat d’chauffement psychologique Les RSSI peuvent galement collaborer avec leurs collgues de la direction pour rsoudre les problmes culturels qui favorisent les tats d’excitation psychologique, explique Erik. Huffman, en soulignant qu’un lieu de travail o les employs sont constamment inquiets ou draisonnablement occups donne un autre avantage aux pirates informatiques.Lance Spitzner, directeur de la recherche et de la communaut au SANS Institute, conseille aux RSSI d’adopter une vision plus large du sujet, en appliquant la psychologie et les sciences du comportement pour influencer non seulement les travailleurs individuels, mais aussi le comportement organisationnel dans son ensemble. Il s’agit de crer un environnement dans lequel les humains adoptent des comportements de scurit forts, explique-t-il. Pour scuriser les organisations, nous devons scuriser les personnes. Et pour scuriser les personnes, nous devons changer leurs comportements. Et pour changer leurs comportements, nous devons la fois les motiver et leur donner les moyens de changer. C’est l que les sciences cognitives entrent en jeu.

Article rdig par

Mary K. Pratt, IDG NS (Adaptation par Aurlie Chandze)