En tant qu'expert technologique et chercheur en cybersécurité, Erik J. Huffman connaît bien les astuces des pirates informatiques. Pourtant, il a failli être victime d'une escroquerie après avoir reçu un courriel prétendument envoyé par sa mère pour lui demander une aide financière. Ce courriel lui a immédiatement rappelé tout ce que sa mère avait fait pour sa famille. Il dit avoir entendu sa voix dans son esprit lorsqu'il a lu les mots sur l'écran de l'ordinateur. Bien que M. Huffman sache qu'elle n'avait jamais demandé d'argent auparavant, il s'est empressé de répondre : « De combien as-tu besoin ? »

Ce n'est que lorsqu'un autre courriel lui est revenu, lui demandant dans quel délai il pouvait envoyer de l'argent - une autre demande inhabituelle - qu'Erik Huffman s'est interrogé sur l'échange. « Des signaux d'alarme se sont alors allumés », explique-t-il en racontant l'histoire dans son exposé TED intitulé « Human Hacking : La psychologie derrière la cybersécurité ». Dans cet exposé et dans un entretien avec CSO, M. Huffman, fondateur de la société de services de cybersécurité Handshake Leadership, explique pourquoi il a failli tomber dans le piège : il entendait la voix de sa mère dans sa tête lorsqu'il lisait l'e-mail, ce qui donnait l'impression que la demande était réelle. Il voulait se rendre utile. Et, dans la précipitation du quotidien, il n'a pas perçu tout de suite le danger.

Les réactions à l'hameçonnage font partie de l'ADN humain

Erik Huffman n'est pas le seul à avoir ces réactions. Lui et d'autres responsables de la cybersécurité affirment qu'elles sont typiques de l'ADN humain, qui n'a pas encore évolué pour déclencher une réaction de fuite ou d'évasion face à des dangers en ligne. Cette réalité a suscité un intérêt croissant pour la manière dont la science du comportement humain peut informer et améliorer la discipline de la cybersécurité. Un intérêt justifié pour les experts de ce domaine.

« Les gens agissent de manière imprévisible, et même s'il est bon d'avoir une authentification multifactorielle et d'autres technologies de sécurité, il suffit qu'une personne réponde à un courriel un jour donné pour mettre l'organisation en danger », explique Lee Hadlington, maître de conférences en cyberpsychologie à la Nottingham Trent University, psychologue agréé et membre du groupe de recherche sur la cyberpsychologie de l'université. « C'est la dimension humaine de la cybersécurité, et c'est un aspect auquel les RSSI doivent commencer à réfléchir davantage. »

L'intersection de la cybersécurité et de la psychologie

Les psychologues de la cybersécurité et les praticiens en entreprise soulignent tous les deux la nécessité de mieux comprendre comment les êtres humains interagissent avec la technologie afin de renforcer le dispositif de sécurité IT. Ils s'appuient sur des statistiques montrant que la plupart des violations de données sont dues à une erreur humaine. Le rapport 2023 Data Breach Investigations Report de Verizon, par exemple, a révélé que « 74 % de toutes les violations comprennent un élément humain, les personnes étant impliquées soit par erreur, soit par abus de privilèges, soit par l'utilisation d'informations d'identification volées, soit par ingénierie sociale. »

Comme le dit Erik Huffman, les pirates informatiques « ne veulent pas s'attaquer à votre pare-feu. Ils ne veulent pas défier votre antivirus, parce que c'est très difficile, pas quand ils peuvent exploiter la plus grande vulnérabilité de tous les réseaux de la planète à l'heure actuelle - c'est-à-dire nous, les humains. Les cybercriminels ne se contentent pas de pirater des ordinateurs, ils piratent des personnes. Parce que, contrairement aux ordinateurs, nous réagissons à la propagande. » La psychologie permet de comprendre pourquoi les êtres humains font ce qu'ils font, pointe Erik Huffman. Pour celui-ci, comme pour M. Hadlington et d'autres chercheurs qui étudient le rôle de la nature humaine dans la cybersécurité, il existe de multiples raisons psychologiques pour lesquelles des employés se laissent séduire par des tentatives d'hameçonnage et d'autres escroqueries de pirates informatiques.

Les employés ne perçoivent pas « le danger de l'inconnu »

Tout d'abord, de nombreux travailleurs cliquent alors qu'ils ne le devraient pas parce qu'ils sont concentrés sur leur travail. Ils se disent : « J'essaie simplement de faire mon travail. Je veux que mon patron arrête d'être derrière mon dos », explique Lee Hadlington. « Ou bien il s'agit simplement d'un accident : ils ont pensé faire ce qu'il fallait », poursuit-il, ajoutant que la plupart des êtres humains veulent se rendre utiles lorsqu'ils reçoivent une demande au travail. Par ailleurs, les travailleurs n'ont pas été conditionnés à se méfier des inconnus en ligne ; ils ne pensent pas au « danger de l'inconnu » comme ils le feraient dans la vie réelle, explique M. Huffman. Et chacun a encore tendance à penser qu'il ne sera pas escroqué. « Les employés sont dans un déni plausible. Ils pensent que cela ne leur arrivera pas et que moins ils y pensent, moins ils seront une cible », observe Lee Hadlington.

Les pirates informatiques comprennent tout cela, explique Stephanie Carruthers, chief people hacker chez IBM. Cette spécialiste du volet humain du piratage explique que les cybermalfaiteurs conçoivent souvent des attaques qui créent un sentiment de peur, d'urgence ou d'autorité pour inciter les gens à réagir. C'est pourquoi un message tel que « Vous perdrez vos avantages sociaux si vous ne remplissez pas ces formulaires aujourd'hui » est efficace, explique Mme Carruthers. Un tel message détourne l'amygdale du lecteur, la partie du cerveau qui détecte les menaces et y répond. « Vous réagissez très vite », dit-elle. « Et lorsque vous avez ces émotions fortes, vous arrêtez de regarder les signaux d'alarme. »

Pourquoi intégrer la psychologie dans la sécurité ?

L'application de la psychologie à la sécurité IT aide les professionnels de la cybersécurité à comprendre où, comment et pourquoi ils ne parviennent pas à mettre en place un programme de sécurité efficace, affirment les experts. « Nous devons concevoir la sécurité en pensant aux gens, car si la sécurité ne fonctionne pas pour eux, elle ne fonctionne tout simplement pas », explique John Blythe, spécialiste des sciences du comportement et directeur de la psychologie des employés en matière de cybersécurité chez Immersive Labs, créateur d'une plateforme de formation à la cybersécurité. John Blythe cite en exemple les exigences en matière de mots de passe : le fait d'exiger des combinaisons complexes de lettres, de chiffres et de symboles, ainsi que des changements fréquents, surcharge la mémoire des employés, qui finissent par utiliser des mots de passe plus faibles (et par les écrire) afin de pouvoir accéder aux systèmes nécessaires à l'exécution de leur travail. « C'est pourquoi, dit-il, le fait de demander aux travailleurs d'utiliser trois mots aléatoires est plus efficace pour la mémoire humaine » et pour la sécurité. Le Centre national de cybersécurité du Royaume-Uni renforce ce point en indiquant que les mots de passe de trois mots sont « suffisamment longs » et « suffisamment forts » pour la plupart des cas.

M. Huffman cite un autre exemple où la science de la psychologie montre que la sécurité peut se retourner contre elle-même. Pour celui-ci, les praticiens de la sécurité qui disent « la question n'est pas de savoir s'il y a une faille, mais quand » (ou une variante de cette formule) peuvent en fait faire plus de mal que de bien. Il explique que cela est lié à l'effet Pygmalion, un phénomène psychologique dans lequel le fait de fixer des attentes élevées conduit à des performances plus élevées, tandis que le fait de fixer des attentes faibles conduit à des résultats faibles. « Lorsque nous disons 'ce n'est pas si, mais quand', nous enlevons le contrôle à l'utilisateur », explique Erik Huffman. Il s'interroge : qu'est-ce qui incite les utilisateurs à suivre les meilleures pratiques, en particulier lorsque ces dernières nécessitent des efforts supplémentaires, si on leur dit que cela n'aura pas nécessairement d'importance ? Au lieu de cela, donnez à chaque utilisateur le pouvoir et le contrôle en disant : nous pouvons arrêter ces attaques. Nous pouvons surmonter cela. Nous ne serons pas attaqués parce que nous suivrons les bons processus. »

La sécurité psychologique est une sécurité efficace

En tant que PDG et fondatrice de RevolutionCyber, Juliet Okafor aide les organisations à passer de la sensibilisation à l'adoption de bonnes pratiques en cybersécurité. Elle propose aussi des services de responsable de la sécurité de l'information des entreprises en temps partagé. Juliet Okafor, qui est également avocate et a une formation en communication, se concentre sur la composante humaine de la construction d'une organisation cyberrésiliente. Elle explique qu'elle s'inspire des principes de marketing et de vente qui permettent de convaincre une personne de faire un achat ou d'entreprendre une action. « Il s'agit de convaincre quelqu'un de prendre une décision qu'il ne prendrait pas normalement. La cybersécurité, c'est la même chose. Il s'agit de convaincre les gens que la cybersécurité fait partie de leur travail. Pour ce faire, la cybersécurité doit faire appel à la psychologie. Elle exige de la psychologie pour être efficace », explique Mme Okafor.

Telle une professionnelle du marketing, Mme Okafor a élaboré et utilise des personas pour l'aider à affiner les messages de cybersécurité qu'elle délivre aux individus. Ces personas tiennent compte de leurs rôles, de leurs motivations, de la manière dont ils préfèrent apprendre et d'autres facteurs. « Cela nous permet de personnaliser les campagnes, de mieux sensibiliser les gens et de mieux limiter les risques », explique-t-elle.

Selon Mme Okafor, les cyberpsychologues utilisent également leur formation pour identifier les vulnérabilités des entreprises. Elle cite des recherches montrant que le comportement plus pressé des gens à certains moments de la journée, par exemple juste avant le déjeuner ou au moment de partir, les rend plus enclins à cliquer sur des courriels contenant des attaques d'hameçonnage. (Les cyberpsychologues appellent ces moments de précipitation un état viscéral « chaud »). Les équipes de sécurité qui comprennent cette dynamique peuvent agir sur la base de cette information, dit-elle, par exemple en ajustant leur plateforme de gestion des informations et des événements de sécurité (SIEM) afin de créer davantage de sas de sécurité pour les courriels à ces moments-là.

La cyberpsychologie fonctionne aussi dans la formation

Juliet Okafor a également appliqué la psychologie à la formation des équipes de sécurité, après avoir travaillé avec des entreprises cherchant à améliorer leurs délais de réponse aux incidents. Elle a organisé des concours pour former les équipes et a demandé aux gagnants de partager leurs stratégies, en tirant parti, dans le premier cas, de la nature généralement compétitive des spécialistes de la sécurité et, dans le second, de leurs motivations à faire le bien et à être perçus comme des gardiens de confiance. Comme elle l'explique : « Il s'agit de prendre ce que l'on sait sur la façon dont les gens travaillent et de créer des politiques pour s'assurer que les bons contrôles sont en place ».

Christie Wilson, responsable de la cyberrésilience chez UniSuper, explique qu'elle aussi intègre la psychologie dans le programme de sécurité de son organisation. Mme Wilson, qui est titulaire d'une licence et d'un diplôme d'études supérieures en sociologie, explique qu'elle s'efforce « d'analyser et de prédire les interactions, les motivations et les vulnérabilités humaines, qui sont des éléments importants pour la protection contre les cybermenaces et la conception de mesures de sécurité efficaces ». Mme Wilson explique que cela l'a aidée à mettre au point une formation de sensibilisation qui suscite un meilleur écho auprès des gens et les aide à mieux comprendre pourquoi ils doivent adhérer au programme de cyberrésilience de l'entreprise.

Les êtres humains sont un vecteur d'attaque, pas un maillon faible

Cet état d'esprit a même amené Christie Wilson à revoir sa façon de considérer les employés comme le « maillon faible ». « Les employés ne sont pas le maillon faible », souligne-t-elle. « Ils sont le principal vecteur d'attaque. Il est important que nous comprenions cela lorsque nous créons des contenus de sensibilisation et de formation. En tant que professionnels de la sécurité, nous devons nous mettre à la place de nos collaborateurs. La sécurité peut être le sujet le plus important au monde pour nous, mais pour d'autres, cela peut représenter tout autre chose, d'un frein à quelque chose qu'ils n'envisagent jamais ». Elle ajoute : « Comprendre que le changement de comportement nécessite de la motivation, de la capacité et des incitations a été un élément clé de notre programme de cyberrésilience ».

Selon John Blythe, le moyen le plus efficace pour les RSSI d'intégrer la psychologie dans leur programme de sécurité est de faire appel à un cyberpsychologue, qui connaît cette science et son fonctionnement. D'autres partagent ce point de vue, mais ils reconnaissent qu'il s'agit là d'une demande importante et difficile à satisfaire. D'une part, peu de personnes sont formées à cette discipline. La cyberpsychologie, qui s'intéresse à la façon dont l'esprit réagit lorsque les gens interagissent avec la technologie, est encore un domaine relativement nouveau, explique Lee Hadlington. En outre, tous les cyberpsychologues et tous les programmes de cyberpsychologie ne se concentrent pas sur la cybersécurité. Les RSSI qui travaillent déjà avec des budgets restreints n'ont peut-être pas les moyens de financer un tel poste.

Néanmoins, l'intérêt et l'information sur l'intersection de la psychologie et de la cybersécurité se répandent. Lee Hadlington adopte une approche de « formation des formateurs ». Erik Huffman effectue des recherches et donne des conférences sur le sujet. Par exemple, le SANS Institute, un organisme de formation, organise un sommet sur la gestion des risques humains en août 2023, qui abordera en partie le facteur psychologique.

Inclure la psychologie dans le département SSI

Selon les experts, les RSSI peuvent apprendre à intégrer la psychologie dans leurs programmes de sécurité afin de renforcer l'efficacité de leur travail. Pour commencer, Lee Hadlington et Erik Huffman recommandent tous deux aux CISO de communiquer davantage. Ils devraient demander aux employés où ceux-ci se heurtent aux contrôles de sécurité, pourquoi ils contournent les politiques de sécurité, pourquoi ils ont cliqué sur le lien d'une escroquerie par hameçonnage simulée (ou réelle) ou encore ce qui les motiverait à se soucier davantage de la sécurité. Ils doivent ensuite s'attaquer à ces éléments humains.

Les RSSI devraient également donner aux employés les moyens de résoudre leurs problèmes et leur expliquer clairement comment ils font la différence en matière de sécurité. « Cette boucle de rétroaction est vraiment essentielle », explique Lee Hadlington. « Les collaborateurs veulent savoir pourquoi ils font cela. Qu'est-ce que j'y gagne ? Est-ce que j'aide l'organisation ? Ce que je fais est-il efficace ? »

En outre, M. Huffman indique que les RSSI peuvent collaborer avec leurs services marketing pour apprendre les techniques permettant d'influencer les comportements. Et, tout comme le marketing personnalise les messages qu'il envoie à son public, Erik Huffman estime que les départements SSI peuvent personnaliser la sensibilisation et la formation à la sécurité.

S'attaquer aux problèmes qui créent un « état d'échauffement psychologique »

Les RSSI peuvent également collaborer avec leurs collègues de la direction pour résoudre les problèmes culturels qui favorisent les états d'excitation psychologique, explique Erik. Huffman, en soulignant qu'un lieu de travail où les employés sont constamment inquiets ou déraisonnablement occupés « donne un autre avantage aux pirates informatiques ».

Lance Spitzner, directeur de la recherche et de la communauté au SANS Institute, conseille aux RSSI d'adopter une vision plus large du sujet, en appliquant la psychologie et les sciences du comportement pour influencer non seulement les travailleurs individuels, mais aussi le comportement organisationnel dans son ensemble. « Il s'agit de créer un environnement dans lequel les humains adoptent des comportements de sécurité forts », explique-t-il. « Pour sécuriser les organisations, nous devons sécuriser les personnes. Et pour sécuriser les personnes, nous devons changer leurs comportements. Et pour changer leurs comportements, nous devons à la fois les motiver et leur donner les moyens de changer. C'est là que les sciences cognitives entrent en jeu ».