En 2021, 1 entreprise sur 4 a été victime d’une cyberattaque. Contrer ces attaques se révèle souvent difficile pour les entreprises, tant les méthodes des hackers se sont perfectionnées et professionnalisées. Les avancées technologiques ne sont plus suffisantes pour riposter, d’autant plus que c’est, dans 90 % des cas, une défaillance humaine qui permet aux attaques d’avoir les impacts néfastes que l’on constate. En matière de cybersécurité, la faille se trouve, selon l’expression consacrée, « entre la chaise et le clavier » ; elle sera souvent liée à une erreur d’inattention ou de méconnaissance, mais quoiqu’il en soit d’origine humaine. Le sujet est d’autant plus préoccupant que, pour nombre de collaborateurs, grand est le décalage entre leur perception propre et la réalité en matière de cyberattaques. Ainsi, dans une étude menée par OpinionWay pour la société Mailinblack, 88% des personnes sondées se déclaraient vigilantes quant aux emails qu’elles reçoivent, mais seules 3 % d’entre elles ont su reconnaître tous les emails frauduleux qui leur avaient été envoyés. Et si 79 % ressentiraient « une très forte culpabilité » si elles étaient responsables d’un piratage, 65 % d’entre elles n’ont jamais eu le sentiment de confronter leur entreprise à un « danger quelconque », alors même que les cyberattaques sont en forte croissance depuis plusieurs années, et prennent des formes de plus en plus variées…
Face à ce facteur humain qui constitue un des maillons faibles de la cybersécurité, les sciences cognitives ou neurosciences peuvent aider à comprendre ce qui incitera un salarié à cliquer sur un lien frauduleux, et à faciliter ainsi la cyberattaque. Bruno Teboul, chercheur en sciences cognitives et économie comportementale, ajoute à ce sujet : « Le stress, la charge cognitive et la baisse de la vigilance, trois marqueurs identifiés dans l’étude, sont des vecteurs majeurs de vulnérabilité neurocognitive face aux risques de cyberattaques. » Les biais cognitifs et les instincts primitifs de chacun d’entre nous, c’est bien là-dessus que jouent les hackers pour tromper la vigilance des collaborateurs… et mieux les inciter à effectuer des actions qu’ils ne souhaiteraient pas forcément accomplir. Le stress, qui peut être causé par plusieurs tâches conduites simultanément, et qui concerne une majorité de collaborateurs (ici 57 % des personnes sondées), est un bon exemple de facteur aggravant de cette « vulnérabilité neurocognitive ». Bruno Teboul précise : « L'effet « tunnel attentionnel » est l'un des effets du stress aigu où l'attention est hyper-focalisée sur des éléments liés à la cause du stress, et donc moins sensible aux autres informations. Dans le cas d'un message de phishing, ce tunneling peut conduire à une hyper-concentration sur le texte de l'email (par exemple : “Votre abonnement expire aujourd’hui, renouvelez-le maintenant”) et donc à l’ignorance d’une adresse suspecte ».
C’est en tentant de comprendre les mécanismes utilisés par les hackers – et ainsi mieux les déjouer – que les sciences cognitives peuvent apporter leur pierre à l’édifice de la cybersécurité. Surtout, elles permettraient d’entamer un changement de paradigme. Plutôt que de simplement constater les fraudes ayant déjà eu lieu et d’en subir les dégâts, il s’agirait de prendre le problème à son origine, de mieux former les collaborateurs en amont, afin qu’ils soient eux-mêmes mieux sensibilisés aux attaques potentielles, et puissent contourner les pièges qu’on leur tend. Pour mieux appréhender ce risque encore trop sous-estimé, Mailinblack propose aux entreprises des audits de vulnérabilité humaine gratuits via sa solution Cyber Coach, afin qu’elles puissent connaître le niveau de connaissance de leurs collaborateurs sur ces sujets. Une volonté de formation et de sensibilisation aux cyberattaques, destinée à « l’ensemble des collaborateurs, notamment ceux qui n’en ressentent pas le besoin », précise Thomas Kerjean, directeur général de Mailinblack.