Stratgie
le 20 Juillet 2023
Plutt que de considrer les employs comme le maillon faible, les CISO doivent y voir un vecteur d’attaque comme un autre, et les aider mieux apprhender leur rle dans la scurit.
Comprendre le fonctionnement de l’esprit humain peut aider lutter contre les mfaits de l’ingnierie sociale, en renforant la lutte contre l’hameonnage et d’autres techniques de manipulation de l’esprit frquemment utilises par les cybermalfaiteurs.
PublicitEn tant qu’expert technologique et chercheur en cyberscurit, Erik J. Huffman connat bien les astuces des pirates informatiques. Pourtant, il a failli tre victime d’une escroquerie aprs avoir reu un courriel prtendument envoy par sa mre pour lui demander une aide financire. Ce courriel lui a immdiatement rappel tout ce que sa mre avait fait pour sa famille. Il dit avoir entendu sa voix dans son esprit lorsqu’il a lu les mots sur l’cran de l’ordinateur. Bien que M. Huffman sache qu’elle n’avait jamais demand d’argent auparavant, il s’est empress de rpondre : De combien as-tu besoin ? Ce n’est que lorsqu’un autre courriel lui est revenu, lui demandant dans quel dlai il pouvait envoyer de l’argent – une autre demande inhabituelle – qu’Erik Huffman s’est interrog sur l’change. Des signaux d’alarme se sont alors allums, explique-t-il en racontant l’histoire dans son expos TED intitul Human Hacking : La psychologie derrire la cyberscurit . Dans cet expos et dans un entretien avec CSO, M. Huffman, fondateur de la socit de services de cyberscurit Handshake Leadership, explique pourquoi il a failli tomber dans le pige : il entendait la voix de sa mre dans sa tte lorsqu’il lisait l’e-mail, ce qui donnait l’impression que la demande tait relle. Il voulait se rendre utile. Et, dans la prcipitation du quotidien, il n’a pas peru tout de suite le danger.Les ractions l’hameonnage font partie de l’ADN humainErik Huffman n’est pas le seul avoir ces ractions. Lui et d’autres responsables de la cyberscurit affirment qu’elles sont typiques de l’ADN humain, qui n’a pas encore volu pour dclencher une raction de fuite ou d’vasion face des dangers en ligne. Cette ralit a suscit un intrt croissant pour la manire dont la science du comportement humain peut informer et amliorer la discipline de la cyberscurit. Un intrt justifi pour les experts de ce domaine. Les gens agissent de manire imprvisible, et mme s’il est bon d’avoir une authentification multifactorielle et d’autres technologies de scurit, il suffit qu’une personne rponde un courriel un jour donn pour mettre l’organisation en danger, explique Lee Hadlington, matre de confrences en cyberpsychologie la Nottingham Trent University, psychologue agr et membre du groupe de recherche sur la cyberpsychologie de l’universit. C’est la dimension humaine de la cyberscurit, et c’est un aspect auquel les RSSI doivent commencer rflchir davantage. L’intersection de la cyberscurit et de la psychologieLes psychologues de la cyberscurit et les praticiens en entreprise soulignent tous les deux la ncessit de mieux comprendre comment les tres humains interagissent avec la technologie afin de renforcer le dispositif de scurit IT. Ils s’appuient sur des statistiques montrant que la plupart des violations de donnes sont dues une erreur humaine. Le rapport 2023 Data Breach Investigations Report de Verizon, par exemple, a rvl que 74 % de toutes les violations comprennent un lment humain, les personnes tant impliques soit par erreur, soit par abus de privilges, soit par l’utilisation d’informations d’identification voles, soit par ingnierie sociale. PublicitComme le dit Erik Huffman, les pirates informatiques ne veulent pas s’attaquer votre pare-feu. Ils ne veulent pas dfier votre antivirus, parce que c’est trs difficile, pas quand ils peuvent exploiter la plus grande vulnrabilit de tous les rseaux de la plante l’heure actuelle – c’est–dire nous, les humains. Les cybercriminels ne se contentent pas de pirater des ordinateurs, ils piratent des personnes. Parce que, contrairement aux ordinateurs, nous ragissons la propagande. La psychologie permet de comprendre pourquoi les tres humains font ce qu’ils font, pointe Erik Huffman. Pour celui-ci, comme pour M. Hadlington et d’autres chercheurs qui tudient le rle de la nature humaine dans la cyberscurit, il existe de multiples raisons psychologiques pour lesquelles des employs se laissent sduire par des tentatives d’hameonnage et d’autres escroqueries de pirates informatiques.Les employs ne peroivent pas le danger de l’inconnu Tout d’abord, de nombreux travailleurs cliquent alors qu’ils ne le devraient pas parce qu’ils sont concentrs sur leur travail. Ils se disent : J’essaie simplement de faire mon travail. Je veux que mon patron arrte d’tre derrire mon dos, explique Lee Hadlington. Ou bien il s’agit simplement d’un accident : ils ont pens faire ce qu’il fallait, poursuit-il, ajoutant que la plupart des tres humains veulent se rendre utiles lorsqu’ils reoivent une demande au travail. Par ailleurs, les travailleurs n’ont pas t conditionns se mfier des inconnus en ligne ; ils ne pensent pas au danger de l’inconnu comme ils le feraient dans la vie relle, explique M. Huffman. Et chacun a encore tendance penser qu’il ne sera pas escroqu. Les employs sont dans un dni plausible. Ils pensent que cela ne leur arrivera pas et que moins ils y pensent, moins ils seront une cible, observe Lee Hadlington.Les pirates informatiques comprennent tout cela, explique Stephanie Carruthers, chief people hacker chez IBM. Cette spcialiste du volet humain du piratage explique que les cybermalfaiteurs conoivent souvent des attaques qui crent un sentiment de peur, d’urgence ou d’autorit pour inciter les gens ragir. C’est pourquoi un message tel que Vous perdrez vos avantages sociaux si vous ne remplissez pas ces formulaires aujourd’hui est efficace, explique Mme Carruthers. Un tel message dtourne l’amygdale du lecteur, la partie du cerveau qui dtecte les menaces et y rpond. Vous ragissez trs vite, dit-elle. Et lorsque vous avez ces motions fortes, vous arrtez de regarder les signaux d’alarme. Pourquoi intgrer la psychologie dans la scurit ?L’application de la psychologie la scurit IT aide les professionnels de la cyberscurit comprendre o, comment et pourquoi ils ne parviennent pas mettre en place un programme de scurit efficace, affirment les experts. Nous devons concevoir la scurit en pensant aux gens, car si la scurit ne fonctionne pas pour eux, elle ne fonctionne tout simplement pas, explique John Blythe, spcialiste des sciences du comportement et directeur de la psychologie des employs en matire de cyberscurit chez Immersive Labs, crateur d’une plateforme de formation la cyberscurit. John Blythe cite en exemple les exigences en matire de mots de passe : le fait d’exiger des combinaisons complexes de lettres, de chiffres et de symboles, ainsi que des changements frquents, surcharge la mmoire des employs, qui finissent par utiliser des mots de passe plus faibles (et par les crire) afin de pouvoir accder aux systmes ncessaires l’excution de leur travail. C’est pourquoi, dit-il, le fait de demander aux travailleurs d’utiliser trois mots alatoires est plus efficace pour la mmoire humaine et pour la scurit. Le Centre national de cyberscurit du Royaume-Uni renforce ce point en indiquant que les mots de passe de trois mots sont suffisamment longs et suffisamment forts pour la plupart des cas.M. Huffman cite un autre exemple o la science de la psychologie montre que la scurit peut se retourner contre elle-mme. Pour celui-ci, les praticiens de la scurit qui disent la question n’est pas de savoir s’il y a une faille, mais quand (ou une variante de cette formule) peuvent en fait faire plus de mal que de bien. Il explique que cela est li l’effet Pygmalion, un phnomne psychologique dans lequel le fait de fixer des attentes leves conduit des performances plus leves, tandis que le fait de fixer des attentes faibles conduit des rsultats faibles. Lorsque nous disons ‘ce n’est pas si, mais quand’, nous enlevons le contrle l’utilisateur, explique Erik Huffman. Il s’interroge : qu’est-ce qui incite les utilisateurs suivre les meilleures pratiques, en particulier lorsque ces dernires ncessitent des efforts supplmentaires, si on leur dit que cela n’aura pas ncessairement d’importance ? Au lieu de cela, donnez chaque utilisateur le pouvoir et le contrle en disant : nous pouvons arrter ces attaques. Nous pouvons surmonter cela. Nous ne serons pas attaqus parce que nous suivrons les bons processus. La scurit psychologique est une scurit efficaceEn tant que PDG et fondatrice de RevolutionCyber, Juliet Okafor aide les organisations passer de la sensibilisation l’adoption de bonnes pratiques en cyberscurit. Elle propose aussi des services de responsable de la scurit de l’information des entreprises en temps partag. Juliet Okafor, qui est galement avocate et a une formation en communication, se concentre sur la composante humaine de la construction d’une organisation cyberrsiliente. Elle explique qu’elle s’inspire des principes de marketing et de vente qui permettent de convaincre une personne de faire un achat ou d’entreprendre une action. Il s’agit de convaincre quelqu’un de prendre une dcision qu’il ne prendrait pas normalement. La cyberscurit, c’est la mme chose. Il s’agit de convaincre les gens que la cyberscurit fait partie de leur travail. Pour ce faire, la cyberscurit doit faire appel la psychologie. Elle exige de la psychologie pour tre efficace, explique Mme Okafor.Telle une professionnelle du marketing, Mme Okafor a labor et utilise des personas pour l’aider affiner les messages de cyberscurit qu’elle dlivre aux individus. Ces personas tiennent compte de leurs rles, de leurs motivations, de la manire dont ils prfrent apprendre et d’autres facteurs. Cela nous permet de personnaliser les campagnes, de mieux sensibiliser les gens et de mieux limiter les risques, explique-t-elle.Selon Mme Okafor, les cyberpsychologues utilisent galement leur formation pour identifier les vulnrabilits des entreprises. Elle cite des recherches montrant que le comportement plus press des gens certains moments de la journe, par exemple juste avant le djeuner ou au moment de partir, les rend plus enclins cliquer sur des courriels contenant des attaques d’hameonnage. (Les cyberpsychologues appellent ces moments de prcipitation un tat viscral chaud ). Les quipes de scurit qui comprennent cette dynamique peuvent agir sur la base de cette information, dit-elle, par exemple en ajustant leur plateforme de gestion des informations et des vnements de scurit (SIEM) afin de crer davantage de sas de scurit pour les courriels ces moments-l.La cyberpsychologie fonctionne aussi dans la formationJuliet Okafor a galement appliqu la psychologie la formation des quipes de scurit, aprs avoir travaill avec des entreprises cherchant amliorer leurs dlais de rponse aux incidents. Elle a organis des concours pour former les quipes et a demand aux gagnants de partager leurs stratgies, en tirant parti, dans le premier cas, de la nature gnralement comptitive des spcialistes de la scurit et, dans le second, de leurs motivations faire le bien et tre perus comme des gardiens de confiance. Comme elle l’explique : Il s’agit de prendre ce que l’on sait sur la faon dont les gens travaillent et de crer des politiques pour s’assurer que les bons contrles sont en place .Christie Wilson, responsable de la cyberrsilience chez UniSuper, explique qu’elle aussi intgre la psychologie dans le programme de scurit de son organisation. Mme Wilson, qui est titulaire d’une licence et d’un diplme d’tudes suprieures en sociologie, explique qu’elle s’efforce d’analyser et de prdire les interactions, les motivations et les vulnrabilits humaines, qui sont des lments importants pour la protection contre les cybermenaces et la conception de mesures de scurit efficaces . Mme Wilson explique que cela l’a aide mettre au point une formation de sensibilisation qui suscite un meilleur cho auprs des gens et les aide mieux comprendre pourquoi ils doivent adhrer au programme de cyberrsilience de l’entreprise.Les tres humains sont un vecteur d’attaque, pas un maillon faibleCet tat d’esprit a mme amen Christie Wilson revoir sa faon de considrer les employs comme le maillon faible . Les employs ne sont pas le maillon faible, souligne-t-elle. Ils sont le principal vecteur d’attaque. Il est important que nous comprenions cela lorsque nous crons des contenus de sensibilisation et de formation. En tant que professionnels de la scurit, nous devons nous mettre la place de nos collaborateurs. La scurit peut tre le sujet le plus important au monde pour nous, mais pour d’autres, cela peut reprsenter tout autre chose, d’un frein quelque chose qu’ils n’envisagent jamais . Elle ajoute : Comprendre que le changement de comportement ncessite de la motivation, de la capacit et des incitations a t un lment cl de notre programme de cyberrsilience .Selon John Blythe, le moyen le plus efficace pour les RSSI d’intgrer la psychologie dans leur programme de scurit est de faire appel un cyberpsychologue, qui connat cette science et son fonctionnement. D’autres partagent ce point de vue, mais ils reconnaissent qu’il s’agit l d’une demande importante et difficile satisfaire. D’une part, peu de personnes sont formes cette discipline. La cyberpsychologie, qui s’intresse la faon dont l’esprit ragit lorsque les gens interagissent avec la technologie, est encore un domaine relativement nouveau, explique Lee Hadlington. En outre, tous les cyberpsychologues et tous les programmes de cyberpsychologie ne se concentrent pas sur la cyberscurit. Les RSSI qui travaillent dj avec des budgets restreints n’ont peut-tre pas les moyens de financer un tel poste.Nanmoins, l’intrt et l’information sur l’intersection de la psychologie et de la cyberscurit se rpandent. Lee Hadlington adopte une approche de formation des formateurs . Erik Huffman effectue des recherches et donne des confrences sur le sujet. Par exemple, le SANS Institute, un organisme de formation, organise un sommet sur la gestion des risques humains en aot 2023, qui abordera en partie le facteur psychologique.Inclure la psychologie dans le dpartement SSISelon les experts, les RSSI peuvent apprendre intgrer la psychologie dans leurs programmes de scurit afin de renforcer l’efficacit de leur travail. Pour commencer, Lee Hadlington et Erik Huffman recommandent tous deux aux CISO de communiquer davantage. Ils devraient demander aux employs o ceux-ci se heurtent aux contrles de scurit, pourquoi ils contournent les politiques de scurit, pourquoi ils ont cliqu sur le lien d’une escroquerie par hameonnage simule (ou relle) ou encore ce qui les motiverait se soucier davantage de la scurit. Ils doivent ensuite s’attaquer ces lments humains.Les RSSI devraient galement donner aux employs les moyens de rsoudre leurs problmes et leur expliquer clairement comment ils font la diffrence en matire de scurit. Cette boucle de rtroaction est vraiment essentielle, explique Lee Hadlington. Les collaborateurs veulent savoir pourquoi ils font cela. Qu’est-ce que j’y gagne ? Est-ce que j’aide l’organisation ? Ce que je fais est-il efficace ? En outre, M. Huffman indique que les RSSI peuvent collaborer avec leurs services marketing pour apprendre les techniques permettant d’influencer les comportements. Et, tout comme le marketing personnalise les messages qu’il envoie son public, Erik Huffman estime que les dpartements SSI peuvent personnaliser la sensibilisation et la formation la scurit.S’attaquer aux problmes qui crent un tat d’chauffement psychologique Les RSSI peuvent galement collaborer avec leurs collgues de la direction pour rsoudre les problmes culturels qui favorisent les tats d’excitation psychologique, explique Erik. Huffman, en soulignant qu’un lieu de travail o les employs sont constamment inquiets ou draisonnablement occups donne un autre avantage aux pirates informatiques .Lance Spitzner, directeur de la recherche et de la communaut au SANS Institute, conseille aux RSSI d’adopter une vision plus large du sujet, en appliquant la psychologie et les sciences du comportement pour influencer non seulement les travailleurs individuels, mais aussi le comportement organisationnel dans son ensemble. Il s’agit de crer un environnement dans lequel les humains adoptent des comportements de scurit forts, explique-t-il. Pour scuriser les organisations, nous devons scuriser les personnes. Et pour scuriser les personnes, nous devons changer leurs comportements. Et pour changer leurs comportements, nous devons la fois les motiver et leur donner les moyens de changer. C’est l que les sciences cognitives entrent en jeu .
Article rdig par
Mary K. Pratt, IDG NS (Adaptation par Aurlie Chandze)