Biais cognitifs et social engineering : comment rendre les utilisateurs moins vulnérables aux menaces en matière de cybersécurité ?

Le numérique fait aujourd’hui pleinement partie de nos vies avec autant d’usages que d’utilisateurs ou de contextes d’utilisation. La compréhension de l’être humain et la manière dont il interagit avec les données personnelles et les données de l’entreprise doivent ainsi être considérées comme des paramètres clés des stratégies de protection des utilisateurs.

Des victimes contraintes aux faux pas

Margaret Cunningham, directrice de recherche chez Forcepoint

Margaret Cunningham, directrice de recherche chez Forcepoint

Que ce soit dans un cadre privé ou professionnel, il y a fort à parier que vous ayez déjà été la cible de tentatives d’escroquerie où des individus malveillants utilisent des techniques comme le phishing ou la très médiatique “arnaque au président”.

Souvenez-vous, en 2015 : le Français Gilbert Chikli était condamné à sept ans de prison et un million d’euros d’amende pour avoir escroqué des groupes en se faisant passer pour leur PDG ou pour un agent de la DGSE luttant contre le terrorisme. L’affaire a fait un tel bruit et tellement fasciné l’opinion que le réalisateur Pascal Elbé l’a adaptée au cinéma en 2015 dans le long-métrage intitulé “Je compte sur vous”. Car étonnamment, si elles s’avèrent extrêmement efficaces, ces techniques ne nécessitent ni logiciel ni compétence technique particulière. Le secret des cybercriminels, qu’ils en soient conscients ou non, est de s’appuyer sur ce que l’on appelle communément le social engineering, ou ingénierie sociale.

Connaître l’humain pour compenser ses biais cognitifs

Le social engineering exploite les faiblesses dans la prise de décision humaine, faiblesses qui sont généralement associées aux biais cognitifs connus. Par exemple, les hackers savent que lorsqu’une personne risque de perdre quelque chose (des données ou de l’argent) elle est encline à prendre des décisions plus risquées. Cela est lié à un biais associé à l’effet de cadrage, où la décision d’une personne est façonnée par la manière dont une question lui est posée. Jusqu’à présent, les stratégies de sécurité traditionnelles n’ont pas inclus la compréhension des biais humains, ni même la compréhension des causes profondes de la prise de décision erronée, dans le cadre de solutions destinées à protéger les utilisateurs et les données.

A lire aussi : Les risques Cyber, enjeu majeur pour les années à venir

Lorsqu’une entreprise est touchée par ce type d’attaque, considérée comme de la cybercriminalité, l’employé ciblé se sentira le plus souvent en faute parce qu’il a pris la mauvaise décision : cliquer sur un lien, fournir des informations ou transférer des actifs à un acteur malveillant. Or, l’erreur provient plus probablement d’un véritable problème de perception, où la victime perçoit comme légitime la tentative de phishing. À l’ère des outils analytiques et du Machine Learning, l’élaboration stratégique de méthodes de détection des caractéristiques d’une attaque visant les vulnérabilités cognitives et perceptuelles tout comme les biais peut favoriser une meilleure prise de décision et, en fin de compte, protéger les employés.
C’est par l’étude des sciences cognitives et du comportement humain que des solutions peuvent être mises au point pour se prémunir contre l’impact négatif des biais cognitifs
connus. L’objectif ultime : rendre les salariés moins vulnérables aux différentes méthodes de
social engineering.

Même sans le savoir, de nombreuses techniques malveillantes sont basées sur les biais
cognitifs qui permettent à un individu de prendre une décision. Si les cybercriminels ne sont
pas des psychologues, ils  » sentent  » que ces préjugés peuvent être exploités pour créer la
meilleure attaque, celle qui permettra de recueillir des informations confidentielles auprès
des employés ou de les encourager à prendre les mauvaises décisions.

Une approche à combiner avec une analyse comportementale avancée

Dans ce contexte, la simple prise de recul, même assortie de la meilleure interprétation du
monde, ne saurait être suffisante pour aborder ces biais. Il est au préalable primordial de les
comprendre, non seulement chez les utilisateurs, mais également chez les concepteurs des
systèmes frauduleux, car les professionnels de la cybersécurité y sont aussi sensibles que
tout autre individu.

A lire aussi : Cloud et cybersécurité : deux systèmes antagoniques ?

Six biais analytiques peuvent ainsi être dénombrés : le biais d’agrégation, le biais d’ancrage,
le biais de disponibilité, le biais de confirmation, l’effet de cadrage et l’erreur fondamentale
d’attribution. Nous sommes tous sujets à ces biais cognitifs et aux erreurs de raisonnement
susceptibles d’influencer les décisions et les résultats des entreprises en matière de
cybersécurité.

Le langage utilisé dans les e-mails de phishing, par exemple, est conçu pour inciter les
individus à prendre des décisions rapides plutôt que des décisions réfléchies ou analytiques.
Le langage de phishing utilise des techniques de persuasion spécifiques, des menaces
subtiles et fait souvent référence à des contraintes de temps. Cette stratégie a une incidence
sur l’état émotionnel d’une personne, la rend moins susceptible d’engager son processus de
pensée plus lent et plus rationnel. Les victimes seront plus enclines à prendre des décisions
biaisées qui ont un impact négatif sur la sécurité. D’autres stratégies de phishing, où les
attaquants envoient des messages qui semblent valides ou provenant d’un collègue connu,
s’appuient sur le fait que les employés prennent rapidement des décisions sur ce qu’ils
doivent faire en fonction de ce qu’ils ont fait dans le passé en examinant un facteur ou une
caractéristique de l’e-mail. L’ancrage sur une caractéristique, comme le fait que le message
provient de la direction, ou le fait qu’il ressemble à un message reçu auparavant (paie, fonds
de retraite, mise à jour des renseignements personnels) est suffisant pour amener une
personne à fournir des renseignements.

L’un des atouts majeurs de l’être humain est sa capacité à penser selon son propre
raisonnement et, par conséquent, à reconnaître et à corriger ces biais. En changeant
d’approche et en évitant les cas où la pensée automatique est nuisible, il est donc possible
d’optimiser la prise de décision. Une compréhension profonde du comportement doit donc être intégrée aux solutions, aussi bien lors de l’analyse du comportement dans les produits dédiés que lors de la conception de
systèmes de cybersécurité.

Pour lutter efficacement contre les facteurs extérieurs influençant la décision, il faut bel et bien
des outils de sécurité flexibles et efficaces, donnant la priorité au cloud, et adaptés à la
complexité du paysage actuel des menaces comme à la complexité du cerveau
humain. L’intelligence artificielle a certes battu les meilleurs joueurs d’échecs, l’homme peut
être plus habile que la machine a priori implacable de la cybercriminalité.